75
Può sembrare arabo quello che ho scritto nel titolo, per chi non sa di cosa sta parlando forse lo è.
Ad ogni modo, ci sono diversi ransomware che sfruttano l’MBR per infettare il sistema direttamente all’avvio e chiedere un riscatto per poter accedere al sistema e ai propri dati, come ha fatto il ransomware PETYA (CryptoHost e Petya Ransomware: strumenti per il ripristino, Petya Ransomware: temibile e diverso dai soliti ransom )
In primo luogo che cos’è l’MBR?
MBR sta per Master Boot Record ed è il settore di avvio principale del disco ove risiedono le istruzioni di avvio, quindi essenziale per un avvio corretto del sistema operativo. In verità ora con Windows 10 è consigliato l’utilizzo del formato GPT abbinato ai nuovi UEFI (che hanno preso il posto dell’obsoleto BIOS): anche se all’interno del GPT vi è una stringa dedicata all’MBR per la retro-compatibilità.
Ad ogni modo, ci sono diversi ransomware che sfruttano l’MBR per infettare il sistema direttamente all’avvio e chiedere un riscatto per poter accedere al sistema e ai propri dati, come ha fatto il ransomware PETYA (CryptoHost e Petya Ransomware: strumenti per il ripristino, Petya Ransomware: temibile e diverso dai soliti ransom )I laboratori Cisco Talos hanno rilasciato proprio uno strumento denominato MBRFilter il quale blocca la scrittura e l’intervento di agenti estranei quali sono i ransomware, di seguito un video dimostrativo:
Sono disponibili due versioni dello strumento e sono le seguenti:
Versione 32 bit
Versione 64 bit
La procedura d’installazione è mostrata nel seguente video:
Vista la difficile rimozione consigliamo di installare lo strumento solo a personale esperto, testare prima possibilmente in un muletto o in un ambiente virtuale. Per la rimozione, comunque, è disponibile una guida esauriente qui:
