Эксперты компании ESET обнаружили новый опасный вирус-вымогатель под названием HybridPetya. Этот зловред сочетает в себе черты известных Petya/NotPetya, но обладает уникальной способностью обходить защиту UEFI Secure Boot, используя ранее обнаруженную уязвимость. В этой статье мы разберем, как работает HybridPetya, чем он отличается от своих предшественников и как защитить свои данные от этой угрозы. Вы узнаете о механизмах заражения, шифрования и восстановления данных, а также о том, почему этот вирус представляет серьезную опасность для пользователей.
Как работает HybridPetya?
Установка и заражение системы
Вирус устанавливает вредоносное приложение в системный раздел EFI, изменяя загрузчик UEFI для внедрения буткита. Это приводит к сбою системы — так называемому «синему экрану смерти» (BSoD). После перезагрузки буткит автоматически запускается и начинает процесс шифрования данных.
Механизм шифрования
- Буткит проверяет статус шифрования: 0 — готов к шифрованию, 1 — шифрование выполнено, 2 — выкуп уплачен.
- Шифрование данных: Используется алгоритм Salsa20 для шифрования файлов и Master File Table (MFT).
- Имитация CHKDSK: Пользователь видит экран, который создает иллюзию исправления ошибок на диске.
Требование выкупа и расшифровка
Сообщение жертве
Если шифрование завершено, жертве выводится сообщение с требованием выплатить $1000 в биткоинах. На указанный кошелек с февраля по май 2025 года поступило $183,32.
Процесс расшифровки
- Ввод ключа: Жертва получает уникальный ключ от оператора вируса.
- Расшифровка данных: Буткит проверяет ключ и начинает процесс восстановления файлов.
- Восстановление загрузчиков: Легитимные загрузчики восстанавливаются из резервных копий.
Чем HybridPetya отличается от NotPetya?
Возможность восстановления данных
«В отличие от NotPetya, который просто уничтожает данные, HybridPetya позволяет их восстановить после оплаты выкупа.»
Использование уязвимости CVE-2024-7344
Некоторые версии вируса эксплуатируют уязвимость в приложении Reloader UEFI, что позволяет обходить механизмы безопасной загрузки. Microsoft закрыла эту уязвимость в январе 2025 года.
Как защититься от HybridPetya?
- Обновляйте систему: Убедитесь, что все патчи безопасности установлены.
- Используйте антивирусы: Современные решения могут обнаружить и заблокировать подобные угрозы.
- Регулярно делайте резервные копии: Это поможет восстановить данные в случае атаки.
«Появление HybridPetya свидетельствует о том, что обойти UEFI Secure Boot возможно. Это делает такие средства всё более привлекательными для злоумышленников.»
HybridPetya — это серьезная угроза для пользователей современных систем с UEFI. Хотя пока нет свидетельств его активного использования в дикой природе, его механизмы работы демонстрируют новые возможности для злоумышленников. Будьте бдительны и соблюдайте меры безопасности!
