Сегодня 17 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Петя вернулся: обнаружен опасный вирус-вымогатель HybridPetya, который обходит UEFI Secure Boot

Эксперты компании ESET обнаружили новый вирус-вымогатель, которому присвоили название HybridPetya — он напоминает уже известные варианты Petya/NotPetya, но при этом обладает способностью обходить механизм безопасной загрузки в системах с UEFI, эксплуатируя уже исправленную в этом году уязвимость.

 Источник изображений: welivesecurity.com

Источник изображений: welivesecurity.com

Образцы HybridPetya были загружены на платформу VirusTotal в феврале 2025 года. Вирус устанавливает вредоносное приложение в системный раздел EFI. Установщик вносит изменения в загрузчик UEFI, чтобы внедрить буткит. Это вызывает «синий экран смерти» (BSoD) — сбой в системе гарантирует, что после перезагрузки буткит автоматически запустится, и начнётся процесс шифрования. Вирус включает в себя два компонента: установщик и буткит, то есть вредонос, который исполняется ещё до загрузки операционной системы. Буткит отвечает за загрузку конфигурации и проверяет статус шифрования, который может принимать три значения:

  • 0 — к шифрованию готов;
  • 1 — шифрование выполнено;
  • 2 — выкуп уплачен, диск расшифрован.

Если значение равно «0», буткит меняет его на «1» и шифрует файл «\EFI\Microsoft\Boot\verify» алгоритмом Salsa20, используя указанные в конфигурации ключ и одноразовый код. Он также создаёт файл «\EFI\Microsoft\Boot\counter» в системном разделе EFI, после чего шифрует файл Master File Table (MFT), содержащий метаданные всех файлов в разделе формата NTFS, а затем и остальные данные всех разделов NTFS; файл «counter» используется для отслеживания уже зашифрованных кластеров диска. В это время пользователю выводится имитация экрана CHKDSK — у жертвы создаётся иллюзия, что система исправляет ошибки на диске.

 Имитация экрана CHKDSK

Имитация экрана CHKDSK

Если буткит обнаруживает, что диск зашифрован, то есть статус шифрования равен «1», он выводит жертве сообщение с требованием выкупа — $1000 в биткоинах на указанный адрес кошелька. Сейчас кошелёк пуст, хотя с февраля по май 2025 года на него поступили $183,32. На том же экране есть поле для ввода ключа, который жертва покупает у оператора вируса. Если его ввести, буткит пытается расшифровать файл «\EFI\Microsoft\Boot\verify»; если указан правильный ключ, статусу шифрования присваивается значение «2», и начинается расшифровка; на первом этапе считывается содержимое файла «\EFI\Microsoft\Boot\counter». Когда количество расшифрованных кластеров достигает значения из файла «counter», процесс расшифровки останавливается; при расшифровке файла MFT показывается текущий статус всего процесса. На этапе расшифровки также из созданных ранее резервных копий восстанавливаются легитимные загрузчики: «\EFI\Boot\bootx64.efi» и «\EFI\Microsoft\Boot\bootmgfw.efi». По окончании процесса жертве предлагают перезагрузить компьютер.

 Схема работы HybridPetya

Схема работы HybridPetya

Некоторые варианты HybridPetya эксплуатируют уязвимость CVE-2024-7344 (рейтинг 6,7 из 10) в приложении Reloader UEFI (файл «reloader.efi»), позволяющую запускать удалённое выполнение кода в обход безопасной загрузки. Для маскировки буткит переименовывает файл приложения в «bootmgfw.efi» и загружает файл «cloak.dat» с зашифрованным XOR кодом буткита. Когда во время загрузки запускается переименованный в «bootmgfw.efi» файл, он ищет «cloak.dat» в системном разделе EFI и «загружает из него встроенное приложение UEFI крайне небезопасным способом, полностью игнорируя все проверки целостности, тем самым обходя UEFI Secure Boot», отметили в ESET. Microsoft закрыла эту уязвимость в январе 2025 года. В отличие от варианта NotPetya, который просто уничтожает данные, HybridPetya позволяет их восстановить: заплатив выкуп, жертва получает от оператора уникальный ключ, на основе которого формируется ключ для расшифровки данных.

Свидетельств того, что HybridPetya использовался на практике, экспертам ESET обнаружить не удалось — есть версия, что это исследовательский проект, не имеющий цели заработка на противоправной деятельности. Тем не менее, его появление свидетельствует, что обойти UEFI Secure Boot не просто возможно — такие средства распространяются и становятся всё более привлекательными как для исследователей, так и для злоумышленников, заключили в ESET.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Google не успевает за конкурентами: релиз Gemini 3.5 Pro задерживается на месяцы 25 мин.
Компания FirstVDS запустила комплексный сервис мониторинга сайтов 47 мин.
Electronic Arts призвала разработчиков задуматься о внедрении рекламы в игры, потому что это «огромная возможность» 2 ч.
Кооперативное приключение в мире скандинавского фольклора Hela: of Mice & Magic приглянулось миллиону игроков — новый трейлер и сроки выхода 3 ч.
«Антиплагиат» нашёл следы ИИ в каждой третьей студенческой работе 3 ч.
Си Цзиньпин призвал открыть ИИ для всех и сделать его безопасным 4 ч.
Исследователь «отравила» открытую ИИ-модель всего за $100 4 ч.
Китайская Moonshot AI выпустила крупнейшую в мире открытую ИИ-модель Kimi K3 — у неё 2,8 трлн параметров 6 ч.
Только ярость: кинематографический трейлер Marvel’s Wolverine напомнил игрокам о боли утраты дисков 6 ч.
На Apple подали в суд из-за уязвимости в функции Hide My Email, позволяющей раскрыть реальный адрес пользователя 7 ч.
В Китае прошёл первый международный турнир по боям человекоподобных роботов — одному оторвали голову 15 мин.
Япония разморозила строительство маглева Токио — Нагоя после десятилетней паузы 23 мин.
Учёные обнаружили планету, где могут быть все условия для жизни, как на Земле 2 ч.
Япония получит 140-МВт ЦОД с NVIDIA Vera Rubin NVL72 для разработки физического ИИ 2 ч.
Для электроснабжения xAI Илон Маск купил за $1 млрд энергокомпании APR Energy, владеющую парком мобильных газовых и дизель-генераторов 3 ч.
В Китае представлен ИИ-ускоритель DF1000 с памятью 3D DRAM 3 ч.
Samsung не спешит внедрять сканеры High-NA для выпуска чипов — потому что это дорого 3 ч.
Lenovo выпустила первый в мире ноутбук с OLED-экраном, изготовленным методом струйной печати 3 ч.
ИИ не лишил новичков работы, но изменил правила входа в профессию 3 ч.
Индия оштрафовала HP Inc. на $14,4 млн за картельный сговор в сфере расходных материалов для принтеров 3 ч.