Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot

2025-09-13 15800 комментарии
Исследователи ESET обнаружили новую программу-вымогатель HybridPetya, способную обходить защиту UEFI Secure Boot через уязвимость CVE-2024-7344. Вредонос шифрует кластеры MFT и требует выкуп в 1000 долларов. Microsoft устранила уязвимость в январском обновлении 2025 года

Специалисты по кибербезопасности обнаружили новую разновидность программы-вымогателя под названием HybridPetya. Вредоносное ПО способно обходить защиту UEFI Secure Boot и устанавливать вредоносный код в системный раздел EFI.

Происхождение и особенности

Программа HybridPetya создана на основе вредоносных программ Petya и NotPetya, которые активно распространялись в 2016–2017 годах. Исследователи компании ESET обнаружили образец программы в системе VirusTotal. По их мнению, это может быть как исследовательский проект, так и ранняя версия инструмента для киберпреступлений.

Механизм работы

После запуска HybridPetya определяет, использует ли система UEFI с разбивкой GPT, и размещает вредоносный код в системном разделе EFI. В состав вредоносного ПО входят:

  • файлы конфигурации и проверки;

  • модифицированный загрузчик;

  • резервный загрузчик UEFI;

  • контейнер с эксплойтом;

  • файл состояния для отслеживания процесса шифрования.

Процесс атаки

Программа вызывает синий экран ошибки (BSOD), принудительно перезагружает систему и выполняет вредоносный код при следующем запуске. Затем HybridPetya шифрует все кластеры MFT, используя ключ Salsa20, и отображает поддельное сообщение CHKDSK. После завершения шифрования система снова перезагружается, и жертва видит требование выкупа в размере 1000 долларов в биткоинах.

Защита от угрозы

Microsoft устранила уязвимость CVE-2024-7344 в рамках январского обновления 2025 года. Системы Windows, получившие это обновление или более поздние версии, защищены от HybridPetya.

Для дополнительной защиты рекомендуется:

  • регулярно устанавливать обновления безопасности;

  • создавать резервные копии важных данных на внешних носителях;

  • использовать антивирусное ПО.

Индикаторы компрометации для защиты от угрозы доступны в специальном репозитории на GitHub. Несмотря на то что HybridPetya пока не использовалась в реальных атаках, существует риск её применения в масштабных кампаниях против незащищённых систем Windows.

Угрозы безопасности

PromptSpy – первая угроза для Android, использующая генеративный ИИ в процессе работы
Критические уязвимости в расширениях для VS Code, Cursor и Windsurf: отчет OX Security
Шифровальщик LockBit 5.0 получил инструменты обхода защиты и поддержку Windows, Linux и ESXi
Облачные менеджеры паролей Bitwarden, LastPass, Dashlane и 1Password уязвимы перед компрометацией сервера
Новая атака ClickFix использует утилиту nslookup для доставки PowerShell-нагрузки через DNS
Расширение VK Styles для Chrome перехватывало управление профилями в соцсети VK

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×