Defender определяет загрузчик как Win32/Tibbar.A и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.
В логе Windows Defender можно увидеть сообщение:
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
Name: Ransom:DOS/Tibbar.A
ID: 2147724200
Severity: Severe
Category: Trojan
Path: boot:_\Device\Harddisk0\DR0\(MBR)\(MBR)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0Понятно, что это сделано для защиты от Ransomware, которое использует DiskCryptor как средство шифрования, например, Mamba Ransomware, но в данном случае страдают обычные пользователи использующие его как средство защиты.
На данный момент я не вижу альтернатив загрузчику DiskCryptor, так как он позволяет задавать различные действия если загрузочный пароль не введен в течении определённого времени или введен неправильно. Так же он позволяет скрыть текст запроса пароля при загрузке. И сам процесс создания decoy system намного проще, чем в том же VeraCrypt. Если вы знаете альтернативу DiskCryptor с таким же функционалом, пожалуйста, поделитесь в комментариях.
Update: Скорее всего добавление DiskCryptor в антивирусные базы вызвано появлением трояна Bad Rabbit, статья на Хабре.
Комментарии (21)
Foggy4
25.10.2017 18:32На стенде провели тесты с зашифровкой загрузочного диска и выработали такую схему действий:
1. Антивирус удаляет загрузочную запись от DiskCryptor'а, обойти это никак не удалось. Исключения антивируса на загрузочный сектор поставить не получилось, раскарантинить удаленное тоже не дает. Придется отказаться от дисккриптора.
2. НЕ ПЕРЕЗАГРУЖАЯ ПК из системы запустить процесс дешифрации загрузочного диска.
3. После дешифрации загрузиться с установочного диска\флешки операционной системы, выбрать Repair your computer. Выбрать command promt.
Поочередно ввести команды:
Bootrec.exe /fixboot
Bootrec.exe /fixmbr
Bootrec.exe /rebuildbcd
Перейти в каталог загрузочного диска\флеш, выполнить
Bootsect /nt60 sys
После этого ПК загружается и можно приступить к установке альтернативного шифратора, например VeraCrypt.
simplix
25.10.2017 18:55Как будто альтернативный шифратор не может отправиться туда же. Сейчас логичнее и быстрее временно удалить антивирус и восстановить загрузчик DiskCryptor'а. Удалять необходимо из-за того, что MBR добавить в исключения невозможно и антивирус перезаписывает MBR даже если выключен в настройках.
aamonster
25.10.2017 20:16Странный подход. Не логичнее сменить антивирус? Возможно даже, через неделю сможете вернуться обратно.
Foggy4
25.10.2017 22:57Речь идет о корпоративной среде. Поверьте, сменить антивирус не проще и не логичнее.
devop-su
26.10.2017 18:04Но это же чистый false positive!
Держать такое поделие в корпоративной среде — это как испытывать качество патронов на патронном заводе,
стреляя себе в ногу — можно, если другого выхода нет,
но ЗАЧЕМ???!!!Foggy4
26.10.2017 18:09Справедливости ради это первый серьезный случай за несколько лет, я не думаю, что стоит драматизировать. У других антивирусов есть свои недостатки начиная от цены и заканчивая удобством управления.
alkoro
25.10.2017 21:07Когда комп тестовый или пустой — есть альтернатива в выборе между средствами шифрования или антивирусами. Но когда уже есть что терять, есть уже наработанные шифрованные носители и инфраструктура резервирования, проще заменить или удалить антивирус, чем перешифровывать (фактически раскрывать) конфиденциальные массивы, с ещё неизвестным наперёд результатом. Когда за антивирусом вылезает такой неустранимый исключением в настройках косяк, стоит задуматься о надёжности его эксплуатации.
Справедливости ради, стоит заметить, что за Касперским тоже был такой грешок — однажды он тоже удалял bootloader от DiskCryptor, но даже тогда можно было сделать исключение как по объекту, так и по имени детекта(вируса). Длилось это в течении одного-двух циклов обновлений.Foggy4
25.10.2017 23:03Я бы не сказал, что смена антивируса, когда он развернут на сотнях машин это легкое дело. Менять его на каких-то конкретных машинах где используется шифрация — тоже вариант сомнительный, не хочется зоопарк разводить. Да к тому же дисккриптор не обновлялся с 2014 года, видимо проект заброшен, так что это хороший повод перейти на нечто более поддерживаемое :)
alkoro
26.10.2017 07:14Если сравнивать конкретно ваши цифры — сотни машин, то шифрование там поменять наверное куда более тяжёлое и долгое(самое главное) дело, чем смена антивируса. Я не вижу повода переходить на что-то другое из-за принципа: работает — не трогай. DC будет, пока живы ОС, в которых он пока как-то работает.
tzlom
26.10.2017 12:20Странно что бутлоадер винды не стирает, у меня есть информация что Ransomware очень часто использует Windows для работы
scruff
27.10.2017 11:45А в чём может быть преемущества у DiskCryptor-a перед встроенным виндовым Bitlocker-ом?
simplix
27.10.2017 12:24BitLocker далеко не во всех редакциях присутствует, для WinXP-7 DiskCryptor подходит идеально. Из очевидного — у DiskCryptor открытый код, высокая скорость работы и удобство.
scruff
27.10.2017 12:49Речь идёт, разумеется, о production-е. Начиная с win8, bitlocker доступен в PRO-версии. Win7/XP (pro) в рознице уже точно не найти.
scruff
27.10.2017 12:53Для рядового пользователя Bitlocker проще в работе, и интуитивно понятнее, на мой взляд. Раздел шифруется буквально в 3 клика без установки стороннего софта.
simplix
Microsoft Security Essentials с базами 1.255.60 тоже перезаписывает MBR. Альтернатива для Win8+ это BitLocker + TPM, всё что ниже нормальной бесплатной альтернативы DiskCryptor'у нет.
turock
А никто не пробовал использовать MBRFilter для защиты MBR от перезаписи?