Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot

2025-09-13 282 комментарии
Исследователи ESET обнаружили новую программу-вымогатель HybridPetya, способную обходить защиту UEFI Secure Boot через уязвимость CVE-2024-7344. Вредонос шифрует кластеры MFT и требует выкуп в 1000 долларов. Microsoft устранила уязвимость в январском обновлении 2025 года

Специалисты по кибербезопасности обнаружили новую разновидность программы-вымогателя под названием HybridPetya. Вредоносное ПО способно обходить защиту UEFI Secure Boot и устанавливать вредоносный код в системный раздел EFI.

Происхождение и особенности

Программа HybridPetya создана на основе вредоносных программ Petya и NotPetya, которые активно распространялись в 2016–2017 годах. Исследователи компании ESET обнаружили образец программы в системе VirusTotal. По их мнению, это может быть как исследовательский проект, так и ранняя версия инструмента для киберпреступлений.

Механизм работы

После запуска HybridPetya определяет, использует ли система UEFI с разбивкой GPT, и размещает вредоносный код в системном разделе EFI. В состав вредоносного ПО входят:

  • файлы конфигурации и проверки;

  • модифицированный загрузчик;

  • резервный загрузчик UEFI;

  • контейнер с эксплойтом;

  • файл состояния для отслеживания процесса шифрования.

Процесс атаки

Программа вызывает синий экран ошибки (BSOD), принудительно перезагружает систему и выполняет вредоносный код при следующем запуске. Затем HybridPetya шифрует все кластеры MFT, используя ключ Salsa20, и отображает поддельное сообщение CHKDSK. После завершения шифрования система снова перезагружается, и жертва видит требование выкупа в размере 1000 долларов в биткоинах.

Защита от угрозы

Microsoft устранила уязвимость CVE-2024-7344 в рамках январского обновления 2025 года. Системы Windows, получившие это обновление или более поздние версии, защищены от HybridPetya.

Для дополнительной защиты рекомендуется:

  • регулярно устанавливать обновления безопасности;

  • создавать резервные копии важных данных на внешних носителях;

  • использовать антивирусное ПО.

Индикаторы компрометации для защиты от угрозы доступны в специальном репозитории на GitHub. Несмотря на то что HybridPetya пока не использовалась в реальных атаках, существует риск её применения в масштабных кампаниях против незащищённых систем Windows.

Угрозы безопасности

Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
В даркнете растёт рынок аренды аккаунтов мессенжера Max
Apple предупреждает пользователей о целевых атаках шпионского ПО
Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей
WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×