Защита основной загрузочной записи (MBR)

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
Cisco MBR Filter

Некоторые Ransomware шифруют MBR, где хранится информация о размещении разделов жесткого диска, а также шифруют MFT, таблицу с именами файлов и их расположением на диске.

Для защиты от этого, можно установить драйвер, разработанный Yves Younan и Andrea Alleivi из компании Cisco Talos.

Установка:

Скачайте с этой страницы архив, соответствующий битности вашей системы (64 или 32).
Распакуйте архив.
Нажмите правой кнопкой мыши по файлу MBRFilter.inf и выберите пункт "Установить".

Особенности работы:
Драйвер работает без вмешательства пользователя, автоматически блокируя любые попытки записи в область MBR.
Из замеченных неудобств: блокируется попытка форматирования флеш-накопителя. Если вам нужно сделать, что-то требующее вмешательство в MBR, перезагрузите систему в безопасный режим.

Более подробную информацию можно узнать по ссылкам:
MBR Filter - Cisco Talos
GitHub - Cisco-Talos/MBRFilter: Cisco Talos MBR Filter Driver
 
Уточню, что согласно ветке Issue на GitHub, пользователи MBRFilter сталкивались с проблемами:
- отказа в работе ChkDsk (стандартной программы проверки диска на ошибки)
- отказа загрузки ОС при установке программ, типа RAM Disk, в частности http://www.ultraramdisk.com
Также, MBRFilter технически может конфликтовать с каким-нибудь антивирусным продуктом, если он тоже устанавливает защиту нулевого сектора.
 
Не ставил RAM Disk, но после установки система перестала загружаться. Пришлось переустанавливать систему.
Лучше не ставьте себе эту дрянь или по крайней мере будьте готовы к возможным неприятностям.
 
Не ставил RAM Disk, но после установки система перестала загружаться. Пришлось переустанавливать систему.
Ничего не понятно. Вы пишите, что "не ставили", потом пишите, что "после установки" ... Где правда?
В итоге, что именно вы ставили RAM Disk или MBR Filter и на какую ОС?
 
Последнее редактирование:
Не ставил RAM Disk, но после установки система перестала загружаться. Пришлось переустанавливать систему.
Лучше не ставьте себе эту дрянь или по крайней мере будьте готовы к возможным неприятностям.
Ничего не понятно. Вы пишите, что "не ставили", потом пишите, что "после установки" ... Где правда?
В итоге, что именно вы ставили RAM Disk или MBR Filter и на какую ОС?
Я думаю, автор этого сообщения больше к нам не вернётся. Но у меня есть вполне разумный вопрос: а как его правильно удалить?
 
To remove MBRFilter, follow these steps:

- Remove the line MBRFilter from the UpperFilters registry key in (only
remove MBRFilter, there might be other disk drivers here):

HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}

- Reboot
 
Эту инструкцию я читал: проблема не в этом, а в том, что такая инструкция должна быть на русском там же, где и основная статья, иначе количество сообщений типа
Не ставил RAM Disk, но после установки система перестала загружаться. Пришлось переустанавливать систему.
будет только расти. Иными словами, нужно сделать следующее:
1. удалите текст MBRFilter, который содержится в параметре UpperFilters в ключе/разделе реестра HKLM\System\CurrentControlSet\Control\Class\{4d36e967-e325-11ce-bfc1-08002be10318}
2.
после удаления нужно перезагрузить систему для "отключения" драйвера
3. после перезагрузки можно удалить оставшиеся элементы: ключ драйвера HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MBRFilter и сам драйвер C:\Windows\System32\drivers\MBRFilter.sys
Если система не загружается в обычном режиме, то всё то же самое нужно сделать в Безопасном режиме (так как драйвер, судя по содержимому статьи, не работает в Безопасном режиме, то всё можно сделать без лишней перезагрузки системы).
- такой ответ, я думаю, будет более точным
 
Назад
Сверху Снизу