为什么安全的Boot不保护像PETYA这样的赎金

Question

一些赎金，如彼佳，正在加密MBR并索要赎金。我不明白为什么安全启动不能阻止这种情况发生。

Answer 1

如果引导加载程序(存储在MBR磁盘上)或其他启动时代码被篡改，安全引导会防止计算机启动。实际上，这并不能防止这种篡改本身。安全启动的目的是防止恶意引导代码不知不觉地损害您的计算机--考虑记录击键和文件的间谍软件--而不是保护您免受恶意软件的攻击，恶意软件试图拒绝您访问计算机。

在InfoSec术语中，Secure提供了完整性--您知道如果某些东西被篡改了--并且还可以提供身份验证(如果您只信任一个签名密钥，您可以非常肯定，如果您的计算机启动它的启动映像是由该密钥签名的)。它不提供可用性(防止拒绝服务攻击，这基本上就是ransomware )或授权(访问控制检查控制软件允许做什么)，除非它防止机器在引导映像被篡改时启动。

您通常可以阻止从固件(BIOS或(U)EFI)写入MBR。

Answer 2

SecureBoot确实可以防止篡改引导代码。这就是微软写的在其博客中：

UEFI安全引导是一种安全标准，它使用硬件功能来保护启动过程和固件免受篡改。这种保护将阻止Petya使用引导程序执行危险的磁盘加密。在Petya强制重新引导之后，具有安全引导的机器将检测异常引导加载程序并防止进一步执行，包括损坏和防止磁盘扇区的非常危险的加密导致数据的完全丢失。

此外，在这个博客中，在引导恢复选项中，MS清楚地描述了在这样的预防之后向用户显示的示例消息，并给出了使用启动恢复的建议。

因此，可能选择的答案在技术上是不正确的，或者是为了进行最新的(不可恢复的) Petya修改。