вирус который записывает свой код в главную загрузочную запись master boot record диска это
Атака MBR-червя или все новое — хорошо забытое старое
В последнее время в Интернете получил массовое распространение ранее неизвестный червь — Win32/Zimuse, нацеленный на повреждение главной загрузочной записи MBR (Master Boot Record) на жестком диске.
Примечательно то, что данная угроза изначально была в шутку создана для заражения одного небольшого сообщества словацких байкеров. Возможно, это были происки конкурирующего с ними мотоклуба. Однако сегодня червь уже вышел из-под контроля его авторов и активно распространяется по всему миру. При этом 90% всех инфицированных пользователей сначала находились на территории Словакии. Но теперь по количеству заражений лидируют также США, Таиланд и Испания, с небольшим отставанием Италия, Чехия и другие европейские страны.
Win32/Zimuse повреждает главную загрузочную запись MBR на всех обнаруженных им жестких дисках. Это делает недоступными для пользователя все данные, находящиеся на жестком диске.
Червь распространяется двумя способами: в виде приложения на вполне легальных веб-ресурсах, которое имитирует поведение самораспаковывающегося zip-архива или в виде программы IQ-теста, а также на сменных USB-носителях. Именно второй способ повлиял на быстрый рост его распространения.
После запуска программ IQ-тест пользователи могут наблюдать текстовое послание на чешском языке, что еще раз подтверждает происходение этого червя из Восточной Европы.
На сегодняшний день червь известен в двух вариантах — Win32/Zimuse.A и Win32/Zimuse.B. Они отличаются методом распространения и временем активации. Варианту «А» необходимо 10 дней до начала распространения через USB-устройства, второму — лишь 7 дней с момента заражения.
Подобного рода инцидент уже был ранее известен с вирусом OneHalf, который наделал много шума в середине девяностых. В то время многие антивирусные программы были бессильны перед данной угрозой. OneHalf заражал MBR и шифровал пользовательские данные. Многие варианты лечения этого вируса приводили к повреждению загрузочного сектора и потере данных. В процессе расследования и поиска авторов OneHalf большинство фактов указывало на то, что его распространение началось именно в Словакии и, вероятнее всего, автор был тоже оттуда.
Пользователи антивирусных продуктов ESET NOD32 Antivirus и ESET NOD32 Smart Security защищены от угрозы Win32/Zimuse, а для всех остальных компания ESET разработала специальную утилиту, которая позволяет избавиться от червя Zimuse Removal Tool.
Как восстановить загрузочный сектор — Master Boot Record
MBR, который также определяется как Master Boot Record или Главная загрузочная запись, является сектором жесткого диска, содержащим информацию о его разделах и служащим загрузчиком операционной системы.
Содержание статьи:
Главная загрузочная запись представляет собой первые 512 байт (4096 бит) вашего HDD и создается в момент первой установки Windows. Если MBR повреждается, вы больше не сможете запустить операционную систему и продолжить работу в ней привычным образом. Данный факт касается следующих версий Windows: XP, Vista, 7 и 8.
Симптомы повреждения MBR:
1. Operating System not found (Операционная система не найдена).
2. Error loading operating system (Ошибка при загрузке операционной системы).
3. Invalid partition table (Неверная таблица разделов).
4. FATAL: No bootable medium found (Загрузочный носитель не найден).
5. Reboot and Select proper Boot device (Перезапустите систему и выберите подходящее загрузочное устройство.
Мы привели лишь основные ошибки, сообщения о которых могут возникнуть при запуске операционной системы. На самом деле их существует большое множество и разбирать каждую не имеет смысла, поскольку путей решения всего несколько на необъятное число возможных сбоев.
Причины повреждения MBR:
Итак, разобравшись с тем что же собой представляет MBR, узнав возможные причины возникновения сбоев и их симптомы мы, наконец, готовы приступить к непосредственному восстановлению Главной загрузочной записи.
Восстановление загрузочного сектора
Восстановление MBR в Windows 10
1. Резервное копирование MBR.
Перед тем как приступать к ремонту главной загрузочной записи, настоятельно рекомендуем совершить ее резервное копирование. Чтобы это сделать, воспользуйтесь следующей командой:
dd if=/dev/sda of=/path-to-save/mbr-backup bs=512 count=1
Замените фрагмент /path-to-save/ на путь, по которому сохранится старая версия загрузочного сектора.
2. Восстановление MBR командой bootrec.
Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 10.
bootrec /FixMbr
bootrec /FixBoot
bootrec /ScanOs
bootrec /RebuildBcd
Если данная инструкция по восстановлению главной загрузочной записи оказалась бессильна, воспользуйтесь следующей:
diskpart
sel disk 0
list vol
Diskpart successfully assigned the drive letter or amount point.
cd /d r:\EFI\Microsoft\Boot\
bcdboot c:\Windows /l ru-ru /s r: /f ALL
Восстановление MBR в Windows 8 и 8.1
Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 8.
bootrec /FixMbr
bootrec /FixBoot
bootrec /ScanOs
bootrec /RebuildBcd
Если данная инструкция по восстановлению главной загрузочной записи оказалась бессильна, воспользуйтесь следующей:
diskpart
sel disk 0
list vol
Diskpart successfully assigned the drive letter or amount point.
cd /d r:\EFI\Microsoft\Boot\
bcdboot c:\Windows /l ru-ru /s r: /f ALL
Восстановление MBR в Windows 7
Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows 7.
Если данные команды по восстановлению главной загрузочной записи оказались бессильны, воспользуйтесь приведенной ниже инструкцией:
diskpart
select disk 0
list volume
bootsect /nt60 SYS /mbr
Восстановление MBR в Windows Vista
Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows Vista.
bootrec /FixMbr
bootrec /FixBoot
bootrec /RebuildBcd
Альтернативно команде bootrec, вы можете попробовать восстановить MBR автоматически:
Существует еще одна, более сложная, альтернатива восстановления MBR. Ее концепция вращается вокруг непосредственного ремонта BCD. Запустив Windows при помощи CD/DVD, откройте командную строку и введите в следующие команды:
Подтвердите выполнение каждой команды нажатием клавиши Enter.
Восстановление MBR в Windows XP
Для дальнейшей работы вам понадобится загрузочное устройство с предустановленной версией Windows XP.
Надеемся статья оказалась для вас полезной и помогла восстановить загрузочный сектор вашего диска.
Похожие статьи про восстановление данных:
Как восстановить удаленный раздел диска компьютера или ноутбука
К сожалению, возникновение не каждой неполадки можно предотвратить. Даже если вы со всем вниманием и.
Как восстановить главную таблицу файлов (Master File Table)
В предыдущих статьях мы неоднократно затрагивали тему повреждений HDD. Но что случится, если эти пов.
Как подключить жесткий диск к ноутбуку для восстановления данных
В этой статье мы рассмотрим поэтапный процесс подключения жесткого диска из системного блока ПК к ва.
Вирус mbr-winlock: быстрое его удаление и восстановление доступа к компьютеру
В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег, на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом! Здесь я расскажу о способах как на самом деле легко и просто его удалить.
Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.
Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что « Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:
Версия mbr-winlock для Украины
Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))
Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:
Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!
Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой, названия файлов злоумышленники пока не изменяли).
Уязвимость операционной системы Windows: пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер.
Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.
Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.
Способ 1. Восстановление MBR из резервной копии Acronis TrueImage
Люди делятся на две категории: на тех, которые делают резервные копии, и на тех, которые уже делают…
Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:
Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)
Выбираем файл-образ системного диска
Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)
Выбираем MBR and Track 0 (MBR и Дорожка 0)
Выбираем из списка винчестер (системный), на котором нужно восстановить MBR
Нажать кнопку Proceed (Продолжить)
После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.
Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller
Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту. Вредоносная запись обезвреживается в считанные секунды:
Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды
При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.
UPD (18.05.2012):
Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:
После лечения и перезагрузки:
Способ 3. С помощью установочного диска Windows
Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!
Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R. Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT, Enter, вас попросят подтвердить, нажмите Y. Теперь вбиваем команду FIXMBR, Enter и опять подтверждаем нажатием Y. Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.
Для Windows 7:загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All
Способ 4. Переустановка Windows
При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.
UPD (26.01.2012):
Сегодня обнаружил тело вируса — файл full_porno.avi.exe (17920 кб)
Файл full_porno.avi.exe «в действии»
Для интересующихся вирусный файл можно взять здесь. Пароль на архив — «virus».
UPD (26.04.2012):
Свежая разновидность вируса (белые буквы на чёрном фоне):
Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна. Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected): 
UPD (13.07.2012):
Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие. Скачать тело вируса (пароль к архиву — infected): 
Восстановление MBR загрузчика Windows Vista/7/8/8.1/10 (Часть 1).
Автор: STRIDER · Опубликовано 31.12.2017 · Обновлено 01.07.2018
Привет всем! Сегодня я расскажу о достаточно распространенной проблеме операционных систем семейства Windows Vista/7/8/8.1/10 — нарушение целостности загрузчика MBR. Как бы не старалась Microsoft учесть возможные проблемы работы своего ПО, предусмотреть все еще на этапе разработки и тестирования наверное невозможно. Добавляют проблем к стабильности работы разнообразные сторонние загрузчики (активаторы, другие версии операционных систем, вирусы).
Что необходимо для восстановления загрузчика.
Приступим!
Самый простой способ восстановить загрузчик. Для работы со средством восстановления запуска необходимо сначала запустить среду восстановления Windows RE.
После завершения работы средства восстановления запуска перезагрузите компьютер. Попробуйте запустить Windows в обычном режиме, без установочного носителя.
Если проблема осталась, приступим к дальнейшим действиям.
Сейчас мы рассмотрим восстановление загрузочной записи MBR с помощью штатных средств операционной системы. Которые идут либо в составе установочного диска, либо как компонент операционной системы. А именно BOOTREC.EXE и BOOTSECT.
BOOTREC.EXE — средство восстановления загрузочной записи. Поддерживает перечисленные ниже параметры, из которых можно выбрать наиболее подходящий.
/FixMbr
Этот параметр записывает в системный раздел основную загрузочную запись, совместимую с Windows 7 или Windows Vista. Он не перезаписывает существующую таблицу разделов. Данный параметр следует использовать для устранения проблем, связанных с повреждением основной загрузочной записи, или если необходимо удалить из основной загрузочной записи нестандартный код.
/FixBoot
Это параметр записывает новый загрузочный сектор в системный раздел, используя загрузочный сектор, совместимый с Windows Vista или Windows 7. Этот параметр следует использовать, если выполняется хотя бы одно из перечисленных ниже условий.
/ScanOs
Этот параметр выполняет на всех дисках поиск установленных систем, совместимых с Windows Vista или Windows 7. Он также отображает все записи, не включенные в хранилище данных конфигурации загрузки. Этот параметр следует использовать в том случае, если на компьютере присутствуют установленные операционные системы Windows Vista или Windows 7, которые не отображаются в меню диспетчера загрузки.
/RebuildBcd
Этот параметр выполняет на всех дисках поиск установленных систем, совместимых с Windows Vista или Windows 7. Кроме того, он позволяет выбрать установленные системы, которые необходимо добавить в хранилище данных конфигурации загрузки. Этот параметр следует использовать в том случае, если необходимо полностью перестроить хранилище данных конфигурации загрузки.
Приступим!
Для работы со средством Bootrec.exe необходимо сначала запустить среду восстановления Windows RE.
Bootrec.exe /FixMbr;
Bootrec.exe /FixBoot;
Очень вероятно, что далее Windows заработает нормально.
Если нет, опишем, как восстановить загрузчик Windows другим способом с использованием этой же программы:
Bootrec /ScanOs
Bootrec.exe /RebuildBcd
Если и это не помогло. Устранить проблему с MBR можно и еще одной командой. Для этого в командной строке нужно ввести bootsect /NT60 SYS, затем Enter.
Формат командной строки:
bootsect
Параметры командной строки Bootsect:
/help — отображение справочной информации;
/nt52 — запись программного кода загрузочного сектора, обеспечивающего использование загрузчика ntldr для операционных систем, предшествующих Windows Vista.
/nt60 — запись программного кода в загрузочные секторы для обеспечения загрузки файла bootmgr — диспетчера загрузки Windows Vista/Server 2008 и более поздних ОС семейства Windows.
SYS — запись будет выполнена в секторы системного раздела загрузки Windows, в среде которой выполняется данная команда.
ALL — запись программного кода будет выполнена для всех существующих разделов, которые могут быть использованы для загрузки Windows.
DriveLetter — буква диска, для которого будет выполнена перезапись программного кода загрузочных секторов.
/force — принудительное отключение используемых другими программами томов дисков для обеспечения монопольного доступа утилиты bootsect.exe
/mbr — изменение программного кода главной загрузочной записи (MBR — Master Boot Record) без изменения таблицы разделов диска. При использовании с параметром /nt52, MBR будет совместима с предшествующими Windows Vista версиями, При использовании с параметром /nt60 — MBR будет совместима с операционными системами Windows Vista и более поздними.
bootsect /nt52 E: — создать для диска E: загрузочные записи для операционных систем Windows XP/2000/NT, т.е для загрузки на базе ntldr;
bootsect /nt60 /mbr C: — изменить загрузочные сектора диска C: для обеспечения загрузки диспетчера bootmgr, а это Windows Vista/7/8/8.1/10;
bootsect /nt60 SYS — изменение загрузочных секторов для раздела, с которого выполнена загрузка текущей ОС Windows.
Так же попробуем использовать команду BCDBOOT. Это средство, которое используется для создания системного раздела или восстановления среды загрузки, расположенной в системном разделе. Системный раздел создается посредством копирования небольшого набора файлов среды загрузки из установленного образа Windows®. Средство BCDBOOT создает хранилище данных конфигурации загрузки (BCD) в системном разделе с новой загрузочной записью, которая позволяет загружать установленный образ Windows.
О которой можно прочитать в следующем разделе.