Вымогательская программа HybridPetya обходит UEFI Secure Boot, чтобы злонамеренно шифровать жесткие диски

Новая порция вымогателей, и она может обойти одну из лучших мер защиты от вредоносного шифрования дисков.

HybridPetya - это вирус, который был недавно обнаружен компанией ESET, занимающейся вопросами кибербезопасности. Вредоносная программа может обойти UEFI Secure Boot - утилиту Windows, которая проверяет сертификаты программ, пытающихся загрузиться с диска хранения данных при включении компьютера. Теоретически, эта проверка безопасности предотвращает загрузку вредоносного кода или неофициального программного обеспечения.

Однако HybridPetya может обнаружить, когда зараженный диск использует UEFI с GPT-разметкой, и обойти Secure Boot. Как только он обходит Secure Boot, вредоносная программа добавляет, удаляет или изменяет загрузочные файлы на диске с загрузочным разделом, чтобы заблокировать и зашифровать остальные данные на диске.

После активации HybridPetya выдает пользователю сообщение, в котором говорится, что все его файлы зашифрованы. Записка с выкупом также содержит инструкции по отправке Биткойнов на сумму 1000 долларов США на кошелек. Зараженному пользователю также предлагается отправить свой кошелек Bitcoin и сгенерированный ключ установки на адрес электронной почты ProtonMail, чтобы получить ключ расшифровки.

Компания ESET заявила, что по состоянию на 12 сентября она не заметила ни одной реальной атаки с использованием HybridPetya. В связи с этим, похоже, что эта программа-вымогатель может быть пробным вариантом или находиться на стадии тестирования перед развертыванием. Хорошей новостью является то, что эксплойт, используемый этой вредоносной программой, был исправлен в январском патче для Windows (январский вторник патчей 2025 года), так что если компьютер под управлением Windows обновлен, он должен быть в безопасности. Пока неизвестно, может ли HybridPetya повлиять на другие операционные системы, такие как macOS или Linux.