Windows Defender удаляет bootloader от DiskCryptor

    Если ваш системный диск зашифрован с помощью DiskCryptor система может перестать загружаться после обновления баз Windows Defender до версии 118.1.0.0 от 24.10.2017.

    Defender определяет загрузчик как Win32/Tibbar.A и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.

    В логе Windows Defender можно увидеть сообщение:

    Windows Defender has detected malware or other potentially unwanted software.
    For more information please see the following:
    http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
    Name: Ransom:DOS/Tibbar.A
    ID: 2147724200
    Severity: Severe
    Category: Trojan
    Path: boot:_\Device\Harddisk0\DR0\(MBR)\(MBR)
    Detection Origin: Local machine
    Detection Type: Concrete
    Detection Source: System
    User: NT AUTHORITY\SYSTEM
    Process Name: Unknown
    Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0


    Понятно, что это сделано для защиты от Ransomware, которое использует DiskCryptor как средство шифрования, например, Mamba Ransomware, но в данном случае страдают обычные пользователи использующие его как средство защиты.

    На данный момент я не вижу альтернатив загрузчику DiskCryptor, так как он позволяет задавать различные действия если загрузочный пароль не введен в течении определённого времени или введен неправильно. Так же он позволяет скрыть текст запроса пароля при загрузке. И сам процесс создания decoy system намного проще, чем в том же VeraCrypt. Если вы знаете альтернативу DiskCryptor с таким же функционалом, пожалуйста, поделитесь в комментариях.

    Update: Скорее всего добавление DiskCryptor в антивирусные базы вызвано появлением трояна Bad Rabbit, статья на Хабре.
    Используете ли вы зашифрованные разделы?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 28
    • 0
      Microsoft Security Essentials с базами 1.255.60 тоже перезаписывает MBR. Альтернатива для Win8+ это BitLocker + TPM, всё что ниже нормальной бесплатной альтернативы DiskCryptor'у нет.
      • 0
        А никто не пробовал использовать MBRFilter для защиты MBR от перезаписи?
      • 0
        На стенде провели тесты с зашифровкой загрузочного диска и выработали такую схему действий:
        1. Антивирус удаляет загрузочную запись от DiskCryptor'а, обойти это никак не удалось. Исключения антивируса на загрузочный сектор поставить не получилось, раскарантинить удаленное тоже не дает. Придется отказаться от дисккриптора.
        2. НЕ ПЕРЕЗАГРУЖАЯ ПК из системы запустить процесс дешифрации загрузочного диска.
        3. После дешифрации загрузиться с установочного диска\флешки операционной системы, выбрать Repair your computer. Выбрать command promt.
        Поочередно ввести команды:
        Bootrec.exe /fixboot
        Bootrec.exe /fixmbr
        Bootrec.exe /rebuildbcd
        Перейти в каталог загрузочного диска\флеш, выполнить
        Bootsect /nt60 sys
        После этого ПК загружается и можно приступить к установке альтернативного шифратора, например VeraCrypt.
        • 0
          Как будто альтернативный шифратор не может отправиться туда же. Сейчас логичнее и быстрее временно удалить антивирус и восстановить загрузчик DiskCryptor'а. Удалять необходимо из-за того, что MBR добавить в исключения невозможно и антивирус перезаписывает MBR даже если выключен в настройках.
          • 0

            Странный подход. Не логичнее сменить антивирус? Возможно даже, через неделю сможете вернуться обратно.

            • +1
              Речь идет о корпоративной среде. Поверьте, сменить антивирус не проще и не логичнее.
              • 0

                Но это же чистый false positive!


                Держать такое поделие в корпоративной среде — это как испытывать качество патронов на патронном заводе,
                стреляя себе в ногу — можно, если другого выхода нет,
                но ЗАЧЕМ???!!!

                • 0
                  Справедливости ради это первый серьезный случай за несколько лет, я не думаю, что стоит драматизировать. У других антивирусов есть свои недостатки начиная от цены и заканчивая удобством управления.
            • 0
              Когда комп тестовый или пустой — есть альтернатива в выборе между средствами шифрования или антивирусами. Но когда уже есть что терять, есть уже наработанные шифрованные носители и инфраструктура резервирования, проще заменить или удалить антивирус, чем перешифровывать (фактически раскрывать) конфиденциальные массивы, с ещё неизвестным наперёд результатом. Когда за антивирусом вылезает такой неустранимый исключением в настройках косяк, стоит задуматься о надёжности его эксплуатации.
              Справедливости ради, стоит заметить, что за Касперским тоже был такой грешок — однажды он тоже удалял bootloader от DiskCryptor, но даже тогда можно было сделать исключение как по объекту, так и по имени детекта(вируса). Длилось это в течении одного-двух циклов обновлений.
              • 0
                Я бы не сказал, что смена антивируса, когда он развернут на сотнях машин это легкое дело. Менять его на каких-то конкретных машинах где используется шифрация — тоже вариант сомнительный, не хочется зоопарк разводить. Да к тому же дисккриптор не обновлялся с 2014 года, видимо проект заброшен, так что это хороший повод перейти на нечто более поддерживаемое :)
                • 0
                  Если сравнивать конкретно ваши цифры — сотни машин, то шифрование там поменять наверное куда более тяжёлое и долгое(самое главное) дело, чем смена антивируса. Я не вижу повода переходить на что-то другое из-за принципа: работает — не трогай. DC будет, пока живы ОС, в которых он пока как-то работает.
            • 0
              В некоторых BIOS'ах можно (было?) защищать MBR аппаратно. Поможет?
              • 0

                Вроде нет, то было некое подобие антивируса. (Boot virus detect, как то так называлось)

              • +1
                Странно что бутлоадер винды не стирает, у меня есть информация что Ransomware очень часто использует Windows для работы
                • +1
                  Ночью связался с производителем, в новых базах проблема решена.
                  • +1
                    Но осадочек как говорится остался.
                  • 0
                    А в чём может быть преемущества у DiskCryptor-a перед встроенным виндовым Bitlocker-ом?
                    • 0
                      BitLocker далеко не во всех редакциях присутствует, для WinXP-7 DiskCryptor подходит идеально. Из очевидного — у DiskCryptor открытый код, высокая скорость работы и удобство.
                      • 0
                        Речь идёт, разумеется, о production-е. Начиная с win8, bitlocker доступен в PRO-версии. Win7/XP (pro) в рознице уже точно не найти.
                        • 0
                          Для рядового пользователя Bitlocker проще в работе, и интуитивно понятнее, на мой взляд. Раздел шифруется буквально в 3 клика без установки стороннего софта.
                          • 0
                            Bitlocker на Win7 не работает без аппаратного ТРМ модуля или USB ключа, а DiskCryptor элементарно работает без дополнительных приблуд, по паролю. Иногда это существенно.
                      • 0
                        Подскажите, как решить проблему, если комп перегрузил и зарузиться не получается? МОжно как то с live-cd расшифровать все хотя бы?
                        Спасибо
                        • 0
                          Расшифровывать не нужно, добавьте в WinPE драйвер DiskCryptor'а по инструкции и заново установите загрузчик.
                          • 0
                            Спасибо, щас буду пробовать?
                            то есть по сути нужна всего лишь флешка, помнить пароль и инструкция из разздела win10
                            diskcryptor.net/wiki/LiveCD/ru#Windows_10 ??

                            Имеется в виду, это ж можно сделать на одной машине, чтоб пофиксить другую?
                            • 0
                              И как собственно потом эту флешку юзать? Нужна какая то комманда для запуска, или просто с нее загрузиться?
                              • 0
                                После загрузки с этой флешки (с активным драйвером DiskCryptor'а) выбираете в меню Tools — Config Bootloader — HDD — Install Loader.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.