test adv
,

Вирусу MoonBounce для Windows не страшны переустановка системы и форматирование дисков

MoonBounce относится к типу вредоносного ПО, которое встраивается в UEFI, поэтому антивирусы не могут нейтрализовать его

Последнее время в СМИ говорят о новом вирусе под названием MoonBounce, Это очень стойкое вредоносное ПО, которое может «выжить» даже при переустановке операционной системы и форматировании дисков. MoonBounce — не обычный троян или вирус, поражающий Windows, это достаточно сложный буткит (осуществляет модификацию загрузочного сектора MBR), целью которого является UEFI. Такая его особенность позволяет ему противостоять любым изменениям с накопителем или операционной системой.

Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска. В отчёте компании «Лаборатория Касперского» говорится, что MoonBounce был создан хакерской группой под названием APT41. Из других источников известно, что они связаны с китайским правительством. Буткит впервые обнаружили весной 2021 года, он намного совершеннее, чем два предыдущих вредоноса такого же типа — LoJax и MosaicRegressor.

Как MoonBounce получает доступ к UEFI

Целью MoonBounce является компонент прошивки CORE_DXE, его запуск осуществляется в самом начале при загрузке UEFI. Затем вредоносное ПО перехватывает определённые функции, чтобы внедрить себя в операционную систему, и обращается на удалённый сервер, запрашивая дальнейшие указания. Это приводит к доставке полезной нагрузки следующего этапа для нейтрализации безопасности системы. Атака происходит, когда вредоносная программа модифицирует компонент прошивки UEFI. Злоумышленники могут использовать её для слежки за пользователями, архивирования файлов, сбора информации и так далее. Примечательно, что антивирус «Лаборатории Касперского» не смог отследить заражение на жёстком диске, то есть этот процесс происходит в памяти, не касаясь файлов.

Как предотвратить заражение UEFI

Есть несколько простых способов предотвратить заражение UEFI вредоносным ПО, таким как MoonBounce. Первое, что нужно сделать, — включить безопасную загрузку. Возможно, не зря Microsoft сделала TPM 2.0 обязательным требованием для Windows 11. Установка пароля для доступа к UEFI заблокирует несанкционированные обновления прошивки, тем самым обеспечив дополнительный уровень защиты.

Буткиты в UEFI сложно удалить, поскольку антивирусные программы не работают без операционной системы, но нейтрализовать такие угрозы можно. Даже если не включить безопасную загрузку и не установить пароль, всегда можно перепрошить UEFI, чтобы избавиться от вредоносного ПО. Для этого нужно зайти на сайт производителя материнской платы или ноутбука, найти свою модель и скачать прошивку. Обязательно стоит сверить все данные по материнской плате / ноутбуку, поскольку установка неправильной прошивки может привести к печальным последствиям.


Последнее изменение:
 
Sten_Smit
Sten_Smit, 25 января 2022, 16:19   (...)
P.S. у кого bios могут не переживать.
Ответить
Sciti
Sciti, 26 января 2022, 08:45   (...)
?????
Ответить
nytrefsrt
nytrefsrt, 26 января 2022, 09:45   (...)
у меня не биос, уже начинать переживать?: (
Ответить
Frayyaa
Frayyaa, 25 января 2022, 16:38   (...)
Не так страшно как хотелось бы.
Ответить
SaturnSS
SaturnSS4, 25 января 2022, 17:54   (...)
Можно создать загрузочный диск (флешку) для сканирования и лечения зараженной системы без запуска винды. Такие инструменты есть .
Ответить
chetr
chetr, 26 января 2022, 11:29   (...)
Нет в том-то и дело, загрузочный диск/флешка имеет ту же ОС, но урезанную её версию и так же как и основная не увидит память биос и не сможет её просканировать (т.к. "этот процесс происходит в памяти, не касаясь файлов").
Потому чистить потребуется именно сам биос с UEFI.
Ответить
ennick20
ennick20, 26 января 2022, 15:42   (...)
Не чисть, а новый установить.
Ответить
SaturnSS
SaturnSS4, 26 января 2022, 16:41   (...)
почему ту же ОС, я например использую ubuntu rescue pack. Там полно всего, что надо
Ответить
Cpt_Petard
Cpt_Petard1, 26 января 2022, 18:59   (...)
Удачи вылечить флеш-память биоса
Ответить
SaturnSS
SaturnSS4, 26 января 2022, 19:15   (...)
Это вообще все теория. На практике, метод проникновения зловреда в систему какой? Не скачивать все подряд откуда нипопадя и никакая неведомая ебаная хуйня не заразит ПК.
Ответить
Cpt_Petard
Cpt_Petard1, 26 января 2022, 20:32   (...)
Спасибо за совет, адмирал ясен хуй
Ответить
SaturnSS
SaturnSS4, 26 января 2022, 20:40   (...)
Всегда пожалуйста, можете идти
Ответить
MiTOP
MiTOP1/1, 25 января 2022, 22:46   (...)
У меня племянник недавно поймал такой вирус, и действительно он никак не давал переустановить Винду, но мы с товарищем тоже хитрые, взяли флешку с блокировкой записи, запустили с флешки Винду, и полностью удалили этот вирус с диска. Так что не надо тут про то что всё сложно. Просто нужно уметь.
Вот фото того что он показывал при загрузке.
Ответить
yury_wolf
yury_wolf, 26 января 2022, 07:38   (...)
Про блокировку переустановки системы в статье не говорилось — это разные вирусы
Ответить
MiTOP
MiTOP1/1, 26 января 2022, 10:52   (...)
"(осуществляет модификацию загрузочного сектора MBR), целью которого является UEFI. Такая его особенность позволяет ему противостоять любым изменениям с накопителем или операционной системой."
Как раз таки написано. Модификация MBR это и есть блокировка которая не позволит тебе установить Винду, пока ты снова его не сделаешь загрузочным.
Ответить
maxpr
maxpr, 27 января 2022, 15:48   (...)
Вы статью то читали? У вас могли быть его старые версии, с чего вы взяли, что это именно ?? «Модификация MBR»- НЕ РАВНО «блокировке устиновки Винды»! Это вы уже сами фантазию подключили. Я не искал инфо по этому вирусу, но тут ничего про заставки «Я наблюдаю за тобой» — я создан ид**ами, знай, что я у тебя на компе" НЕ ГОВОРИТСЯ!
А трояны, как правило, не орут о том, что «я установлен на твой ПК»(так работают «вирусы-шантажисты», а не «шпионы», о которых тут речь!). Трояны, как правило, сидят тихо и, чаще всего, просто тихо снимают данные, которые ты вводишь на клавиатуру (цели могут быть разные, просто это самая «традиционная»)

PS: Цитата: «Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска»

То есть, инсталлятор сидит, судя по статье, на мат плате (видимо, флешке BIOS UEFI), и инсталлируется когда вы подрубаете диск/флешку к компу (сразу или после перезагрузки). И чтобы его «полностью удалить с компа», нужно, ВРОДЕ КАК, форматнуть диск (чтобы удалить его файлы с диска, если он это позволяет и так как в ОС тоже, гипотетически, может быть инсталлятор), а потом перепрошивать биос! Если же форматнуть не даёт диск, то нужно перепрошивать биос, а потом форматировать (желательно не через установщик винды, а сторонними прогами с флешки или с ОС типа той, которой вы пользовались с флешки)
Ответить
Lololol_7777
Lololol_7777, 26 января 2022, 10:15   (...)
У тебя не будет вируса в уефи, если у тебя не уефи
Ответить
tutamon
tutamon, 26 января 2022, 10:54   (...)
А если уефи и жпт разметка?
Ответить
ennick20
ennick20, 26 января 2022, 15:41   (...)
Да это уж давно известно, где то так 2 годика. пришлось ставить пароль на BIOS, или обновить его — другое не пашет.
Ответить
devzer0-1
devzer0-1, 27 января 2022, 04:12   (...)
Ахах. Да драйвер к этой вашей nvram, куда вирус заползает, стандартный и с открытым кодом, он в любой сборке linux есть. Но, одно дело дойти до nvram, и совсем другое — пропатчить её и не убить машину. На днях прошивку uefi блокнотом считал через него. Но вирус оооочень нехороший.
Год-два назад словил на свой ноут такого. Решил до десятки обновиться, а потом у меня порты usb, ethernet обесточило. Что-за зараза, думаю. Винда что-ль встала косо? Или с биос беда(на всякий случай, управление питанием компа происходит через биос)? Захожу в биос, пытаюсь его сбросить, перезагружаюсь, захожу в биос, а там значения те же, что и были, мною установленные. Пытаюсь изменить и сохранить — не изменяются. В итоге вытащил я диск из ноута, батарейку из материнки, зашел в биос. Мне вышли красные строчки на весь экран, мол содержимое nvram было повреждено, производим сброс. Ту win10 я удалил потом, на её месте другую систему поставил. Но строки с ошибками и алярмы bios до сих пор при каждой загрузке высвечивает…
и вот думаю теперь, что это было. То-ли пираты подкинули заразу, то-ли филантроп Билли и его комманда… то-ли просто винда решила взять под контроль переменные nvram uefi, но что-то там накосячила
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием