Pull to refresh

Windows Defender удаляет bootloader от DiskCryptor

Reading time 1 min
Views 15K
Если ваш системный диск зашифрован с помощью DiskCryptor система может перестать загружаться после обновления баз Windows Defender до версии 118.1.0.0 от 24.10.2017.

Defender определяет загрузчик как Win32/Tibbar.A и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.

В логе Windows Defender можно увидеть сообщение:

Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
Name: Ransom:DOS/Tibbar.A
ID: 2147724200
Severity: Severe
Category: Trojan
Path: boot:_\Device\Harddisk0\DR0\(MBR)\(MBR)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0


Понятно, что это сделано для защиты от Ransomware, которое использует DiskCryptor как средство шифрования, например, Mamba Ransomware, но в данном случае страдают обычные пользователи использующие его как средство защиты.

На данный момент я не вижу альтернатив загрузчику DiskCryptor, так как он позволяет задавать различные действия если загрузочный пароль не введен в течении определённого времени или введен неправильно. Так же он позволяет скрыть текст запроса пароля при загрузке. И сам процесс создания decoy system намного проще, чем в том же VeraCrypt. Если вы знаете альтернативу DiskCryptor с таким же функционалом, пожалуйста, поделитесь в комментариях.

Update: Скорее всего добавление DiskCryptor в антивирусные базы вызвано появлением трояна Bad Rabbit, статья на Хабре.
Only registered users can participate in poll. Log in, please.
Используете ли вы зашифрованные разделы?
19.91% Да, шифрую все разделы, включая загрузочный раздел 43
24.54% Да, шифрую только раздел с данными 53
55.56% Зачем мне это шифрование? Мне скрывать нечего 120
216 users voted. 98 users abstained.
Tags:
Hubs:
+10
Comments 28
Comments Comments 28

Articles