Вирусы
вымогатели, такие как шифровальщики и потерявшие уже свою популярность
блокировщики экранов – изменяют в основном загрузочный сектор.
Стоит вспомнить шифровальщики
WannaCry и Petya.A, которые уничтожали/модифицировали главную загрузочную запись.
Почему важно
защитить загрузочную запись MBR?
Загрузочная
запись MBR (англ. master boot record) — это первый сектор жесткого диска,
содержащий код и данные, необходимые для последующей загрузки операционной
системы. Данный первый сектор MBR имеет размер 512 байт и содержит небольшой фрагмент исполняемого кода,
таблицу разделов (partition table) и специальную сигнатуру.
Загрузочный код
помогает загрузить операционную систему, в то время как данные таблицы разделов
помогают распознать файловую систему, хранящуюся на диске. Если запись MBR повреждена, то операционная система не
сможет загрузиться.
В связи с этим, вредоносные
программы, часто скрывают свой код в MBR, так что он может загрузиться еще до загрузки самой операционной системы и
может взять под свой контроль важные аспекты операционной системы для
дальнейшего заражения файлов в корыстных целях.
Для борьбы с
изменением загрузочной записи, можно использовать небольшую программу/утилиту MBRFilter. Основной принцип её работы заключается в
предотвращении попыток вредоносного программного обеспечения заразить главную
загрузочную запись.
Бесплатно
загрузить MBRFilter можно со
страницы GitHub. Все ссылки на закгрузку утилиты, предоставлены в низу данной страницы. Вы можете
загрузить архив 32-битный или 64-разрядной версии, в зависимости от
используемой версии операционной системы Windows.
Перед установкой MBRFilter настоятельно рекомендую сделать полную резервную копию системы, создать резервную копию реестра и создать контрольные точки восстановления.
После этого вы должны извлечь содержимое архива
файлов, щелкнуть правой кнопкой мыши на MBRFilter.inf и выбрать «Установить» из контекстного меню и перезагрузить компьютер.
ОС Windows должна снова загрузиться, и вы можете
использовать систему, как и раньше. Единственное, что нужно знать — будут
запрещены записи в секторе 0 на всех дисках.
Как удалить MBRFilter. С помощью комбинации клавиш Win+R открываем окно «Выполнить» и вводим команду «regedit». В редакторе реестра переходим в раздел «Правка», далее «Найти» и в поисковом окне набираем «MBRFilter».
Нажимаем правой
кнопкой мыши по параметру UpperFilters и выбираем пункт «Изменить». Затем удаляем нижнюю строку «MBRFilter» и кликаем «OK». Для завершения процедуры следует перезагрузить
компьютер и загрузить его в «Безопасном режиме». После чего, ещё раз перезагрузить систему.
Примечание. Перед установкой MBRFilter настоятельно рекомендую сделать полную резервную копию системы, создать резервную копию реестра и создать контрольные точки восстановления.
Или с
официального сайта: https://www.talosintelligence.com/mbrfilter
Для обеспечения дополнительной защиты от вирусов-шифровальщиков, ознакомьтесь с данной заметкой.