Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot

2025-09-13 15550 комментарии
Исследователи ESET обнаружили новую программу-вымогатель HybridPetya, способную обходить защиту UEFI Secure Boot через уязвимость CVE-2024-7344. Вредонос шифрует кластеры MFT и требует выкуп в 1000 долларов. Microsoft устранила уязвимость в январском обновлении 2025 года

Специалисты по кибербезопасности обнаружили новую разновидность программы-вымогателя под названием HybridPetya. Вредоносное ПО способно обходить защиту UEFI Secure Boot и устанавливать вредоносный код в системный раздел EFI.

Происхождение и особенности

Программа HybridPetya создана на основе вредоносных программ Petya и NotPetya, которые активно распространялись в 2016–2017 годах. Исследователи компании ESET обнаружили образец программы в системе VirusTotal. По их мнению, это может быть как исследовательский проект, так и ранняя версия инструмента для киберпреступлений.

Механизм работы

После запуска HybridPetya определяет, использует ли система UEFI с разбивкой GPT, и размещает вредоносный код в системном разделе EFI. В состав вредоносного ПО входят:

  • файлы конфигурации и проверки;

  • модифицированный загрузчик;

  • резервный загрузчик UEFI;

  • контейнер с эксплойтом;

  • файл состояния для отслеживания процесса шифрования.

Процесс атаки

Программа вызывает синий экран ошибки (BSOD), принудительно перезагружает систему и выполняет вредоносный код при следующем запуске. Затем HybridPetya шифрует все кластеры MFT, используя ключ Salsa20, и отображает поддельное сообщение CHKDSK. После завершения шифрования система снова перезагружается, и жертва видит требование выкупа в размере 1000 долларов в биткоинах.

Защита от угрозы

Microsoft устранила уязвимость CVE-2024-7344 в рамках январского обновления 2025 года. Системы Windows, получившие это обновление или более поздние версии, защищены от HybridPetya.

Для дополнительной защиты рекомендуется:

  • регулярно устанавливать обновления безопасности;

  • создавать резервные копии важных данных на внешних носителях;

  • использовать антивирусное ПО.

Индикаторы компрометации для защиты от угрозы доступны в специальном репозитории на GitHub. Несмотря на то что HybridPetya пока не использовалась в реальных атаках, существует риск её применения в масштабных кампаниях против незащищённых систем Windows.

Угрозы безопасности

В Google Play обнаружено 239 вредоносных приложений с 40 миллионами скачиваний
На маркетплейсе Microsoft VS Code обнаружено расширение-вымогатель, созданное с помощью ИИ
Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки
CISA: уязвимость в Linux используется в атаках с вымогательским ПО
Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×