Nytt utpressingsvirus kommer med ekstremt destruktiv egenskap

[EigilK_InnleggNO]

Nytt utpressingsvirus kommer med ekstremt destruktiv egenskap

[Selvstendigsaas]

Er det altså sånn at et det er stort problem at man må formatere disken og reinstallere operativsystemet etter dette angrepet? Er ikke dette noe man gjør uansett hvis man blir utsatt for dette? 

[Hårek]

"ekstremt destruktiv egenskap" - "Overskriving av denne sektoren kan altså skape store utfordringer som ikke uten videre er enkle å fikse."

Dette er jo sterkt overdrevet. PC kan ikke boote uten MBR, javel. Men er jo enkelt å reinstalle OS, og svært enkelt å gjenopprette et image backup. Finnes også diverse muligheter for å reparere MBR, se TestDisk.

[^fmj]

Lett å bli oppgitt over dagens journalistikk.

[Ximalas]

Dagens UEFI-systemer er ikke avhengig av (P)MBR. Denne diskblokken må «spyvarene» gjerne overskrive så mye de vil. Alt det andre kan de la være å endre.

[Hårek]

Ximalas skrev (4 timer siden):

Dagens UEFI-systemer er ikke avhengig av (P)MBR

Ikke riktig. MBR er entry point for partisjonstabellen. Hvis man sletter MBR så blir disken uinitialisert, dvs uleselig.

[Ximalas]

On 3/23/2022 at 4:32 PM, Hårek said:

Ikke riktig. MBR er entry point for partisjonstabellen. Hvis man sletter MBR så blir disken uinitialisert, dvs uleselig.

Selv om det er mulig å bruke MBR og UEFI, så er GPT det mest vanlige.

[Hårek]

Ximalas skrev (15 minutter siden):

Selv om det er mulig å bruke MBR og UEFI, så er GPT det mest vanlige.

MBR er den første sektoren på en disk. Uavhengig om det er MBR eller GPT partisjonering, så vil første BIOS / UEFI ser etter være MBR signaturen, som er 0x55AA på de to siste byte. Kjør kommandoen diskpart clean, som sletter denne ene sektoren, så blir disken uleselig.
Så påstanden din om at MBR kan overskrives er fullstendig feil.

[Ximalas]

13 hours ago, Hårek said:

MBR er den første sektoren på en disk. Uavhengig om det er MBR eller GPT partisjonering, så vil første BIOS / UEFI ser etter være MBR signaturen, som er 0x55AA på de to siste byte. Kjør kommandoen diskpart clean, som sletter denne ene sektoren, så blir disken uleselig.
Så påstanden din om at MBR kan overskrives er fullstendig feil.

Nei. Med UEFI og GPT, så brukes en egen partisjon til bootloadere. Windows pleier å gjemme denne partisjonen, så du må gå på jakt. I denne partisjonen (EFI System Partition) vil du finne et FAT32-filsystem. Standard bootloader for amd64 er lagret som \EFI\BOOT\BOOTx64.EFI, men du vil også finne OS-spesifikke kataloger som \EFI\Microsoft, osv.

[Hårek]

Ximalas skrev (3 timer siden):

Med UEFI og GPT, så brukes en egen partisjon til bootloadere.

Ja, men det har lite med saken å gjøre. For å komme dit må jo UEFI finne fram på disken, og det går ikke uten MBR.
Det virker som du ikke skjønner hva jeg skriver. Her har du det med teskje:
If "disk unknown not initialized" is accompanied by "unallocated", the likely cause is MBR corruption on the hard drive. MBR, which stands for Master Boot Record, is the first sector on an MBR or GPT disk. It provides information on loading Windows and on the partition of the disk. Thus, when it is corrupted, you will certainly encounter issues, including disk showing as "Not Initialized".

[Ximalas]

On 3/25/2022 at 4:06 PM, Hårek said:

Ja, men det har lite med saken å gjøre. For å komme dit må jo UEFI finne fram på disken, og det går ikke uten MBR.
Det virker som du ikke skjønner hva jeg skriver. Her har du det med teskje:
If "disk unknown not initialized" is accompanied by "unallocated", the likely cause is MBR corruption on the hard drive. MBR, which stands for Master Boot Record, is the first sector on an MBR or GPT disk. It provides information on loading Windows and on the partition of the disk. Thus, when it is corrupted, you will certainly encounter issues, including disk showing as "Not Initialized".

MBR brukes ikke i det hele tatt med UEFI og GPT. LBA 0 er irrelevant. LBA 1 og utover er relevant. Jeg anbefaler å lese kapittel 5 med alle avsnitt og avsnitt 13.3 med alle underavsnitt i UEFI-spesifikasjonen. Det er bare 20 sider å lese. 🙂 https://uefi.org/sites/default/files/resources/UEFI_Spec_2_9_2021_03_18.pdf

Endret 26. mars 2022 av Ximalas
Link

[Hårek]

Pussig at du ikke klarer å se at dette dokumentet beskriver det motsatte av det du påstår.
5.2.3 Protective MBR: "..a Protective MBR must be located at LBA 0 (i.e., the first logical block) of the disk if it is using the GPT disk layout."
Table 5-3 Protective MBR spesifiserer dette i detalj.

Anbefaler at du tester dette selv med en Disk Editor. Trenger bare å endre en bit i Signature, så blir disken 'not initialized'.

[Ximalas]

23 hours ago, Hårek said:

Pussig at du ikke klarer å se at dette dokumentet beskriver det motsatte av det du påstår.
5.2.3 Protective MBR: "..a Protective MBR must be located at LBA 0 (i.e., the first logical block) of the disk if it is using the GPT disk layout."
Table 5-3 Protective MBR spesifiserer dette i detalj.

Anbefaler at du tester dette selv med en Disk Editor. Trenger bare å endre en bit i Signature, så blir disken 'not initialized'.

Men all praktisk partisjonsinformasjon befinner seg i GPT-tabellen. MBR brukes nå bare for å markere at hele disken er okkupert av GPT og dennes partisjoner. Kvaliteten på bootfirmwaren har også mye å si.

[Hårek]

Ximalas skrev (2 timer siden):

MBR brukes nå bare for å markere at hele disken er okkupert av GPT og dennes partisjoner.

Det er ikke det spesifikasjonen sier. Signaturen er påkrevet.
Er det så vanskelig å bare si "Jeg tok feil"? 
Sist var det "MBR brukes ikke i det hele tatt med UEFI og GPT. LBA 0 er irrelevant". 
Topic for diskusjonen er hva som skjer når MBR overskrives. Du har konskvent påstått at det betyr ingenting når disken er GPT. Feil hele veien.