Защита главной загрузочной записи (MBR).

Данный совет, применим для всех типов операционных систем, семейства Windows.
 
Вирусы вымогатели, такие как шифровальщики и потерявшие уже свою популярность блокировщики экранов – изменяют в основном загрузочный сектор.
Стоит вспомнить шифровальщики WannaCry и Petya.A, которые уничтожали/модифицировали главную загрузочную запись.

Почему важно защитить загрузочную запись MBR?
Загрузочная запись MBR (англ. master boot record) — это первый сектор жесткого диска, содержащий код и данные, необходимые для последующей загрузки операционной системы. Данный первый сектор MBR имеет размер 512 байт и содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.
Загрузочный код помогает загрузить операционную систему, в то время как данные таблицы разделов помогают распознать файловую систему, хранящуюся на диске. Если запись MBR повреждена, то операционная система не сможет загрузиться.
В связи с этим, вредоносные программы, часто скрывают свой код в MBR, так что он может загрузиться еще до загрузки самой операционной системы и может взять под свой контроль важные аспекты операционной системы для дальнейшего заражения файлов в корыстных целях.
Для борьбы с изменением загрузочной записи, можно использовать небольшую программу/утилиту MBRFilter. Основной принцип её работы заключается в предотвращении попыток вредоносного программного обеспечения заразить главную загрузочную запись.
Бесплатно загрузить MBRFilter можно со страницы GitHub. Все ссылки на закгрузку утилиты, предоставлены в низу данной страницы. Вы можете загрузить архив 32-битный или 64-разрядной версии, в зависимости от используемой версии операционной системы Windows.
Перед установкой MBRFilter настоятельно рекомендую сделать полную резервную копию системы, создать резервную копию реестра и создать контрольные точки восстановления.
После этого вы должны извлечь содержимое архива файлов, щелкнуть правой кнопкой мыши на MBRFilter.inf и выбрать «Установить» из контекстного меню и перезагрузить компьютер.


ОС Windows должна снова загрузиться, и вы можете использовать систему, как и раньше. Единственное, что нужно знать — будут запрещены записи в секторе 0 на всех дисках.

Как удалить MBRFilter. С помощью комбинации клавиш Win+R открываем окно «Выполнить» и вводим команду «regedit». В редакторе реестра переходим в раздел «Правка», далее «Найти» и в поисковом окне набираем «MBRFilter».


Нажимаем правой кнопкой мыши по параметру UpperFilters и выбираем пункт «Изменить». Затем удаляем нижнюю строку «MBRFilter» и кликаем «OK». Для завершения процедуры следует перезагрузить компьютер и загрузить его в «Безопасном режиме». После чего, ещё раз перезагрузить систему.

Примечание. Перед установкой MBRFilter настоятельно рекомендую сделать полную резервную копию системы, создать резервную копию реестра и создать контрольные точки восстановления.

Скачать MBRFilter можно с сайта github: https://github.com/vrtadmin/MBRFilter/releases
Или с официального сайта: https://www.talosintelligence.com/mbrfilter
 
Для обеспечения дополнительной защиты от вирусов-шифровальщиков, ознакомьтесь с данной заметкой.

Отправить комментарий

Новые Старые