システムディスクが
DiskCryptorを使用して暗号化されている
場合、 Windows Defenderデータベースを10.24.2017からバージョン118.1.0.0に更新した後
、システムの読み込みが停止する場合があります。
Defenderはブートローダーを
Win32 / Tibbar.Aとして定義し、MBRを上書きします。 DiskCryptor自体は、Trojan:Win32 / Rundas.Bとして定義されています。
Windows Defenderログで、次のメッセージを確認できます。
Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
Name: Ransom:DOS/Tibbar.A
ID: 2147724200
Severity: Severe
Category: Trojan
Path: boot:_\Device\Harddisk0\DR0\(MBR)\(MBR)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0これは、たとえば
Mamba Ransomwareなどの暗号化ツールとしてDiskCryptorを使用するランサムウェアから保護するために行われたものであることは明らかですが、この場合、保護ツールとして使用する一般ユーザーは被害を受けます。
現時点では、DiskCryptorブートローダーに代わるものはありません。これは、ブートパスワードが一定時間入力されなかったり、間違って入力された場合にさまざまなアクションを設定できるためです。 また、ブート時にパスワード要求テキストを非表示にすることもできます。 また、おとりシステムを作成するプロセスは、同じVeraCryptよりもはるかに簡単です。 同じ機能を備えたDiskCryptorの代替品を知っている場合は、コメントで共有してください。
更新:ほとんどの場合、アンチウイルスデータベースへのDiskCryptorの追加は、Habr
に関する記事である
Bad Rabbit Trojanの出現が原因
です 。