Исследователи компании ESET выявили новый образец вредоносного ПО под названием HybridPetya. Это программное обеспечение может обходить защитный механизм загрузки UEFI Secure Boot на системах Windows с неактуальной базой отзывов. Такой метод позволяет вредоносному ПО взять управление над компьютером до загрузки операционной системы и представляет собой гибрид шифровальщика и буткита, что делает его четвертым известным случаем, пробивающим защиту Secure Boot.
Первые упоминания о HybridPetya появились в феврале, когда на VirusTotal были обнаружены несколько его файлов. Название HybridPetya возникло из-за сходства с Petya и NotPetya, но новая версия имеет иные цели. На данный момент это лишь демонстрационный прототип, не имеющий следов реальных атак.
HybridPetya использует уязвимость UEFI с идентификатором CVE-2024-7344, выявленную ESET в этом году. Вредоносное приложение устанавливается в EFI System Partition и шифрует Master File Table, что делает данные недоступными для пользователей. В отличие от NotPetya, HybridPetya функционирует как классический вымогатель, позволяя восстановить доступ к файлам после оплаты. ESET предупреждает, что, несмотря на отсутствие текущего распространения, HybridPetya требует внимательного мониторинга, так как его технологии могут представлять серьезную угрозу.
Вопрос-ответ
Какой новый образец вредоносного ПО выявила компания ESET и чем он отличается от аналогов?
Это HybridPetya — гибрид шифровальщика и буткита, способный обходить защиту UEFI Secure Boot на системах с устаревшей базой отзывов. В отличие от большинства современных вирусов он может взять управление над компьютерo до загрузки ОС и шифрует данные в Master File Table, требуя выкуп за их возврат.
Какую уязвимость использует HybridPetya и где устанавливается вредоносное ПО?
HybridPetya использует уязвимость UEFI с идентификатором CVE-2024-7344, выявленную ESET. Вредоносное приложение устанавливается в EFI System Partition, что позволяет ему исполниться до загрузки ОС.
Какова текущая распространенность и статус угрозы HybridPetya?
На данный момент это демонстрационный прототип без зафиксированных реальных атак. Однако технология угрожающей атаки требует мониторинга, так как может быть применена для серьёзных атак в будущем.
