Открыть список
Как стать автором
Обновить

Windows Defender удаляет bootloader от DiskCryptor

Информационная безопасностьСистемное администрированиеАнтивирусная защита
Если ваш системный диск зашифрован с помощью DiskCryptor система может перестать загружаться после обновления баз Windows Defender до версии 118.1.0.0 от 24.10.2017.

Defender определяет загрузчик как Win32/Tibbar.A и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.

В логе Windows Defender можно увидеть сообщение:

Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
Name: Ransom:DOS/Tibbar.A
ID: 2147724200
Severity: Severe
Category: Trojan
Path: boot:_\Device\Harddisk0\DR0\(MBR)\(MBR)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0


Понятно, что это сделано для защиты от Ransomware, которое использует DiskCryptor как средство шифрования, например, Mamba Ransomware, но в данном случае страдают обычные пользователи использующие его как средство защиты.

На данный момент я не вижу альтернатив загрузчику DiskCryptor, так как он позволяет задавать различные действия если загрузочный пароль не введен в течении определённого времени или введен неправильно. Так же он позволяет скрыть текст запроса пароля при загрузке. И сам процесс создания decoy system намного проще, чем в том же VeraCrypt. Если вы знаете альтернативу DiskCryptor с таким же функционалом, пожалуйста, поделитесь в комментариях.

Update: Скорее всего добавление DiskCryptor в антивирусные базы вызвано появлением трояна Bad Rabbit, статья на Хабре.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Используете ли вы зашифрованные разделы?
19.91% Да, шифрую все разделы, включая загрузочный раздел 43
24.54% Да, шифрую только раздел с данными 53
55.56% Зачем мне это шифрование? Мне скрывать нечего 120
Проголосовали 216 пользователей. Воздержались 97 пользователей.
Теги:DiskCryptorWindows Defenderbootloader
Хабы: Информационная безопасность Системное администрирование Антивирусная защита
Всего голосов 10: ↑10 и ↓0 +10
Просмотры13.5K

Комментарии 28

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Похожие публикации

Ведущий системный администратор
от 70 000 ₽ТаттелекомКазаньМожно удаленно
Преподаватель авторизованных курсов "Kaspersky"
от 80 000 до 160 000 ₽Центр компьютерного обучения СПЕЦИАЛИСТМоскваМожно удаленно
Администратор 1С
до 180 000 ₽Ренессанс ЖизньМожно удаленно
Системный инженер / DevOps
от 65 000 ₽Convergent Media GroupНижний Новгород
IT-специалист
от 60 000 до 80 000 ₽SensisМосква

Лучшие публикации за сутки