Windows Defender удаляет bootloader от DiskCryptor

Если ваш системный диск зашифрован с помощью DiskCryptor ^[1] система может перестать загружаться после обновления баз Windows Defender до версии 118.1.0.0 от 24.10.2017.

Defender определяет загрузчик как Win32/Tibbar.A ^[2] и перезаписывает MBR. Сам DiskCryptor определяется как Trojan:Win32/Rundas.B.

В логе Windows Defender можно увидеть сообщение:

Windows Defender has detected malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:DOS/Tibbar.A&threatid=2147724200&enterprise=0
Name: Ransom:DOS/Tibbar.A
ID: 2147724200
Severity: Severe
Category: Trojan
Path: boot:_DeviceHarddisk0DR0(MBR)(MBR)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITYSYSTEM
Process Name: Unknown
Signature Version: AV: 1.255.60.0, AS: 1.255.60.0, NIS: 118.1.0.0

Понятно, что это сделано для защиты от Ransomware, которое использует DiskCryptor как средство шифрования, например, Mamba Ransomware ^[3], но в данном случае страдают обычные пользователи использующие его как средство защиты.

На данный момент я не вижу альтернатив загрузчику DiskCryptor, так как он позволяет задавать различные действия если загрузочный пароль не введен в течении определённого времени или введен неправильно. Так же он позволяет скрыть текст запроса пароля при загрузке. И сам процесс создания decoy system намного проще, чем в том же VeraCrypt. Если вы знаете альтернативу DiskCryptor с таким же функционалом, пожалуйста, поделитесь в комментариях.

Update: Скорее всего добавление DiskCryptor в антивирусные базы вызвано появлением трояна Bad Rabbit ^[4], статья на Хабре ^[5].

Автор: xl-tech

Источник ^[6]