MBRFilter protège le Master Boot Record des ransomwares

Le par  |  13 commentaire(s)
Petya

Pour les appareils Windows, MBRFilter protège le Master Boot Record contre toute manipulation malveillante. À réserver aux connaisseurs.

Dans la famille des ransomwares, certains sont assez singuliers comme par exemple Petya qui bloque un ordinateur en écrasant le Master Boot Record du disque dur et en chiffrant la Master File Table sur les partitions NTFS de Windows.

serrure-numeriqueC'est afin d'aider à combattre ce genre de menace que les chercheurs en sécurité du groupe Talos de Cisco ont publié en open source un outil gratuit baptisé MBRFilter. Son but est d'empêcher des malwares d'écrire ou modifier les contenus du Master Boot Record.

MBRFilter est un driver qui va faire passer le MBR en mode de lecture seule. Il est disponible pour les versions 32 et 64 bits de Windows. Pour rappel, le Master Boot Record est du code exécutable sur le premier secteur adressable d'un disque dur. Il contient la table des partitions et le chargeur de boot du système d'exploitation.

Les chercheurs de Cisco Talos expliquent que MBRFilter peut être utilisé afin d'éviter qu'un malware puisse " écrire sur le secteur 0 de tous les disques connectés à un système ". " Une fois installé, le système doit être démarré en mode sans échec pour que le secteur 0 du disque puisse être modifié. "

Un avertissement accompagne MBRFilter dans la mesure où il a été spécialement conçu pour être difficile à supprimer. Les instructions pour une installation et une désinstallation sont données sur GitHub. Un outil réservé aux utilisateurs avertis.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1931309
J'aimerai bien savoir de quoi "ces outils" sont capables.

Un NAS ( sous QTS ) relié à un pc ( sous Windows ) par un accès type disque réseau.
Le NAS risque qqch ? ( pas le même type de partition etc etc )
Le #1931315
Perso j'ai une partoche GPT donc :3
Le #1931344
Safirion a écrit :

Perso j'ai une partoche GPT donc :3


Un GPT n'empêche pas d'avoir un MBR
Le #1931345
5COMM a écrit :

J'aimerai bien savoir de quoi "ces outils" sont capables.

Un NAS ( sous QTS ) relié à un pc ( sous Windows ) par un accès type disque réseau.
Le NAS risque qqch ? ( pas le même type de partition etc etc )


Normalement un partage réseau Windows tu n'as pas accès au MBR, seulement au contenu de la partition.
Pour accéder au MBR il faut un partage de type Block (iSCSI par ex.).
Le #1931346
J'ai regardé comment c'est foutu, ça m'a l'air de protéger le MBR contre les accès classiques par l'OS.

Sachant qu'on peut passer par des commandes ATA, je ne peux que supposer qu'un rootkit bien fait le fera.

De plus je vois bien Mme Michu essayer de désinstaller en faisant :

Remove the line MBRFilter from the UpperFilters registry key in (only remove MBRFilter, there might be other disk drivers here):

HKLMSystemCurrentControlSetControlClass{4d36e967-e325-11ce-bfc1-08002be10318}

Les UpperFilters et LowerFilters c'est le truc qui fait que ça boot plus si on ne fait pas attention

Le #1931348
5COMM a écrit :

J'aimerai bien savoir de quoi "ces outils" sont capables.

Un NAS ( sous QTS ) relié à un pc ( sous Windows ) par un accès type disque réseau.
Le NAS risque qqch ? ( pas le même type de partition etc etc )


Je ne pense pas. Ton Nas n’exécutera aucune appli provenant du réseau tout seul.
Le #1931356
Padrys a écrit :

Safirion a écrit :

Perso j'ai une partoche GPT donc :3


Un GPT n'empêche pas d'avoir un MBR


Ah bon ? Faut que j'relise la doc de tout ça moi
Le #1931357
"MBRFilter est un driver qui va faire passer le MBR en mode de lecture seule. "

Question con : le linuxien que je suis, s'il veut installer un dual-boot Win_x- linux_lambda, il fait comment ?? si on peut pas modifier le MBR, on installe grub et les bootloader où ??
Le #1931359
frèzetagada a écrit :

"MBRFilter est un driver qui va faire passer le MBR en mode de lecture seule. "

Question con : le linuxien que je suis, s'il veut installer un dual-boot Win_x- linux_lambda, il fait comment ?? si on peut pas modifier le MBR, on installe grub et les bootloader où ??


DTC ...
Le #1931372
frèzetagada >>> Bah, dual-booter...


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]