Новый вирус-вымогатель HybridPetya: угроза для UEFI Secure Boot

Новый вирус-вымогатель HybridPetya: угроза для UEFI Secure Boot
Новый вирус-вымогатель HybridPetya: угроза для UEFI Secure Boot (источник изображения)

Эксперты ESET обнаружили новый вирус-вымогатель HybridPetya

Эксперты компании ESET обнаружили новый вирус-вымогатель, получивший название HybridPetya. Он напоминает уже известные варианты Petya/NotPetya, но обладает способностью обходить механизм безопасной загрузки в системах с UEFI, эксплуатируя уже исправленную в этом году уязвимость.

Как работает HybridPetya

Образцы HybridPetya были загружены на платформу VirusTotal в феврале 2025 года. Вирус устанавливает вредоносное приложение в системный раздел EFI. Установщик вносит изменения в загрузчик UEFI, чтобы внедрить буткит. Это вызывает «синий экран смерти» (BSoD) — сбой в системе гарантирует, что после перезагрузки буткит автоматически запустится, и начнётся процесс шифрования.

Два компонента HybridPetya

Вирус включает в себя два компонента: установщик и буткит, то есть вредонос, который исполняется ещё до загрузки операционной системы. Буткит отвечает за загрузку конфигурации и проверяет статус шифрования, который может принимать три значения:

  • 0 — к шифрованию готов;
  • 1 — шифрование выполнено;
  • 2 — выкуп уплачен, диск расшифрован.

Процесс шифрования

Если значение равно «0», буткит меняет его на «1» и шифрует файл «EFIMicrosoftBootverify» алгоритмом Salsa20, используя указанные в конфигурации ключ и одноразовый код. Он также создаёт файл «EFIMicrosoftBootcounter» в системном разделе EFI, после чего шифрует файл Master File Table (MFT), содержащий метаданные всех файлов в разделе формата NTFS, а затем и остальные данные всех разделов NTFS; файл «counter» используется для отслеживания уже зашифрованных кластеров диска.

Требование выкупа

Если буткит обнаруживает, что диск зашифрован, то есть статус шифрования равен «1», он выводит жертве сообщение с требованием выкупа — $1000 в биткоинах на указанный адрес кошелька. Сейчас кошелёк пуст, хотя с февраля по май 2025 года на него поступили $183,32.

Уязвимость CVE-2024-7344

Некоторые варианты HybridPetya эксплуатируют уязвимость CVE-2024-7344 (рейтинг 6,7 из 10) в приложении Reloader UEFI (файл «reloader.efi»), позволяющую запускать удалённое выполнение кода в обход безопасной загрузки. Microsoft закрыла эту уязвимость в январе 2025 года.

Заключение

Свидетельств того, что HybridPetya использовался на практике, экспертам ESET обнаружить не удалось — есть версия, что это исследовательский проект, не имеющий цели заработка на противоправной деятельности. Тем не менее, его появление свидетельствует, что обойти UEFI Secure Boot не просто возможно — такие средства распространяются и становятся всё более привлекательными как для исследователей, так и для злоумышленников.

Присоединиться
Share Article
News Express Team
News Express Team

Команда News Express, состоящая из опытных редакторов и журналистов, предоставляет своевременные и надежные репортажи о российской политике, экономике, технологиях и мировых событиях с уникальной региональной точки зрения. Будьте в курсе событий с нашими преданными журналистами.

Похожие записи

Сейчас популярно

Игорь Чернышов: российский талант зажигает в НХЛ
Игорь Чернышов: российский талант зажигает в НХЛ
Звездные гости на ГУМ-катке: Бикович, Моряк и другие
Звездные гости на ГУМ-катке: Бикович, Моряк и другие
Таро-расклад на 1 декабря: что ждет знаки зодиака
Таро-расклад на 1 декабря: что ждет знаки зодиака
Челябинская артистка Алена Авдеева о комплименте Алексея Чумакова
Челябинская артистка Алена Авдеева о комплименте Алексея Чумакова
ru_RURU
en_USEN ru_RURU