Последнее время в СМИ говорят о новом вирусе под названием MoonBounce, Это очень стойкое вредоносное ПО, которое может «выжить» даже при переустановке операционной системы и форматировании дисков. MoonBounce — не обычный троян или вирус, поражающий Windows, это достаточно сложный буткит (осуществляет модификацию загрузочного сектора MBR), целью которого является UEFI. Такая его особенность позволяет ему противостоять любым изменениям с накопителем или операционной системой.
Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска. В отчёте компании «Лаборатория Касперского» говорится, что MoonBounce был создан хакерской группой под названием APT41. Из других источников известно, что они связаны с китайским правительством. Буткит впервые обнаружили весной 2021 года, он намного совершеннее, чем два предыдущих вредоноса такого же типа — LoJax и MosaicRegressor.
Как MoonBounce получает доступ к UEFI
Целью MoonBounce является компонент прошивки CORE_DXE, его запуск осуществляется в самом начале при загрузке UEFI. Затем вредоносное ПО перехватывает определённые функции, чтобы внедрить себя в операционную систему, и обращается на удалённый сервер, запрашивая дальнейшие указания. Это приводит к доставке полезной нагрузки следующего этапа для нейтрализации безопасности системы. Атака происходит, когда вредоносная программа модифицирует компонент прошивки UEFI. Злоумышленники могут использовать её для слежки за пользователями, архивирования файлов, сбора информации и так далее. Примечательно, что антивирус «Лаборатории Касперского» не смог отследить заражение на жёстком диске, то есть этот процесс происходит в памяти, не касаясь файлов.
Как предотвратить заражение UEFI
Есть несколько простых способов предотвратить заражение UEFI вредоносным ПО, таким как MoonBounce. Первое, что нужно сделать, — включить безопасную загрузку. Возможно, не зря Microsoft сделала TPM 2.0 обязательным требованием для Windows 11. Установка пароля для доступа к UEFI заблокирует несанкционированные обновления прошивки, тем самым обеспечив дополнительный уровень защиты.
Буткиты в UEFI сложно удалить, поскольку антивирусные программы не работают без операционной системы, но нейтрализовать такие угрозы можно. Даже если не включить безопасную загрузку и не установить пароль, всегда можно перепрошить UEFI, чтобы избавиться от вредоносного ПО. Для этого нужно зайти на сайт производителя материнской платы или ноутбука, найти свою модель и скачать прошивку. Обязательно стоит сверить все данные по материнской плате / ноутбуку, поскольку установка неправильной прошивки может привести к печальным последствиям.
Вот фото того что он показывал при загрузке.
Как раз таки написано. Модификация MBR это и есть блокировка которая не позволит тебе установить Винду, пока ты снова его не сделаешь загрузочным.
А трояны, как правило, не орут о том, что «я установлен на твой ПК»(так работают «вирусы-шантажисты», а не «шпионы», о которых тут речь!). Трояны, как правило, сидят тихо и, чаще всего, просто тихо снимают данные, которые ты вводишь на клавиатуру (цели могут быть разные, просто это самая «традиционная»)
PS: Цитата: «Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска»
То есть, инсталлятор сидит, судя по статье, на мат плате (видимо, флешке BIOS UEFI), и инсталлируется когда вы подрубаете диск/флешку к компу (сразу или после перезагрузки). И чтобы его «полностью удалить с компа», нужно, ВРОДЕ КАК, форматнуть диск (чтобы удалить его файлы с диска, если он это позволяет и так как в ОС тоже, гипотетически, может быть инсталлятор), а потом перепрошивать биос! Если же форматнуть не даёт диск, то нужно перепрошивать биос, а потом форматировать (желательно не через установщик винды, а сторонними прогами с флешки или с ОС типа той, которой вы пользовались с флешки)
Год-два назад словил на свой ноут такого. Решил до десятки обновиться, а потом у меня порты usb, ethernet обесточило. Что-за зараза, думаю. Винда что-ль встала косо? Или с биос беда(на всякий случай, управление питанием компа происходит через биос)? Захожу в биос, пытаюсь его сбросить, перезагружаюсь, захожу в биос, а там значения те же, что и были, мною установленные. Пытаюсь изменить и сохранить — не изменяются. В итоге вытащил я диск из ноута, батарейку из материнки, зашел в биос. Мне вышли красные строчки на весь экран, мол содержимое nvram было повреждено, производим сброс. Ту win10 я удалил потом, на её месте другую систему поставил. Но строки с ошибками и алярмы bios до сих пор при каждой загрузке высвечивает…
и вот думаю теперь, что это было. То-ли пираты подкинули заразу, то-ли филантроп Билли и его комманда… то-ли просто винда решила взять под контроль переменные nvram uefi, но что-то там накосячила
Потому чистить потребуется именно сам биос с UEFI.