HybridPetya: опасный вирус-вымогатель, который обходит UEFI Secure Boot

В 2025 году эксперты компании ESET обнаружили новый вирус-вымогатель под названием HybridPetya. Этот вредоносный код представляет собой усовершенствованную версию уже известных Petya/NotPetya, но с новыми опасными возможностями. Главная особенность HybridPetya — способность обходить защиту UEFI Secure Boot, что делает его особенно опасным для современных систем. В этой статье мы разберем, как работает этот вирус, какие уязвимости он использует и как защитить свои данные.

Как работает HybridPetya?

Установка и заражение системы

• Вирус внедряется в системный раздел EFI, изменяя загрузчик UEFI.
• После перезагрузки системы запускается буткит, который инициирует процесс шифрования данных.
• Пользователь видит имитацию экрана CHKDSK, что создает иллюзию исправления ошибок на диске.

Процесс шифрования данных

• Шифрование начинается с файла Master File Table (MFT), содержащего метаданные всех файлов.
• Используется алгоритм Salsa20 для шифрования данных.
• Создается файл «counter», который отслеживает уже зашифрованные кластеры диска.

Требование выкупа и расшифровка данных

Сообщение с требованием выкупа

После завершения шифрования жертве выводится сообщение с требованием заплатить $1000 в биткоинах. На момент обнаружения вируса кошелек злоумышленников оставался пустым, хотя с февраля по май на него поступило $183,32.

Процесс расшифровки

• Жертва получает уникальный ключ от оператора вируса после оплаты выкупа.
• Буткит проверяет ключ и начинает расшифровку данных, начиная с файла MFT.
• Восстанавливаются легитимные загрузчики системы.

Уязвимости, которые использует HybridPetya

CVE-2024-7344: обход UEFI Secure Boot

Вирус эксплуатирует уязвимость CVE-2024-7344 (рейтинг 6,7 из 10), которая позволяет запускать удаленный код в обход механизма безопасной загрузки. Microsoft закрыла эту уязвимость в январе 2025 года, но многие системы могут оставаться незащищенными.

Маскировка буткита

• Буткит переименовывает файл приложения в «bootmgfw.efi», чтобы избежать обнаружения.
• Загружает зашифрованный код из файла «cloak.dat», игнорируя проверки целостности.

Выводы и рекомендации по защите

HybridPetya — это не просто угроза, а напоминание о важности своевременного обновления системы и использования надежных антивирусных решений.

• Обновляйте систему и программное обеспечение: Убедитесь, что все уязвимости устранены, особенно те, которые касаются UEFI Secure Boot.
• Используйте антивирусы: Современные антивирусные программы могут обнаружить и предотвратить подобные атаки.
• Регулярно создавайте резервные копии данных: Это позволит восстановить информацию в случае заражения.

«Появление HybridPetya показывает, что злоумышленники продолжают совершенствовать свои методы. Мы должны быть готовы к новым угрозам», — заключили эксперты ESET.