Хакеры используют вирус-вымогатель HybridPetya для атак на UEFI и обхода защитной загрузки Windows

Эксперты обнаружили появление новой разновидности вредоносной программы, способной нарушать фундаментальные механизмы защиты загрузки операционных систем. Вредоносный код под названием HybridPetya демонстрирует способность проникать в системные разделы EFI, обходить защиту UEFI Secure Boot и внедрять вредоносный код, активируемый при старте компьютера.

Как сообщает исследовательская группа компании ESET, которая занимается анализом цифровых угроз, этот вредоносный инструмент представляет собой модификацию уже известных семейств Petya и NotPetya. Последние стали широко известны в 2016–2017 годах за счёт атак с полным нарушением загрузки Windows и невозможностью восстановления данных. Новый образец был обнаружен через платформу VirusTotal. По версии аналитиков, вредоносный код может быть как экспериментальным образцом, так и прототипом инструмента, находящегося на стадии скрытого тестирования.

Представители ESET подчёркивают, что HybridPetya дополняет список современных угроз, использующих уязвимости в механизме UEFI. В числе аналогичных случаев ранее фиксировались буткиты BlackLotus, Hyper-V Backdoor и так называемый BootKitty. Все они, по мнению экспертов, доказывают: злоумышленники активно ищут пути для обхода базовой загрузочной защиты.

HybridPetya воспроизводит визуальную составляющую и тактику действия своих предшественников, при этом оснащён дополнительными механизмами. В частности, речь идёт о проникновении в EFI-раздел и задействовании уязвимости CVE-2024-7344, зарегистрированной в январе текущего года. Уязвимость связана с подписью программ, одобренных Microsoft, через которые можно внедрять загрузочные модули даже при включённой функции Secure Boot.

Специалисты ESET отмечают, что при запуске вредоносная программа проверяет наличие UEFI и схему разметки GPT, а затем размещает набор компонентов в системном EFI-разделе. В составе пакета содержатся: конфигурационные параметры, изменённый загрузчик, модуль подмены, контейнер с вредоносным кодом и файл состояния, отслеживающий процесс шифрования.

Среди зафиксированных компонентов HybridPetya:

• \EFI\Microsoft\Boot\config — содержит код жертвы, ключ Salsa20, одноразовый шифр и флаг шифрования;
• \EFI\Microsoft\Boot\verify — используется для подтверждения валидности ключа расшифровки;
• \EFI\Microsoft\Boot\counter — ведёт счёт обработанных сегментов MFT;
• \EFI\Microsoft\Boot\bootmgfw.efi.old — сохраняет резервную копию исходного загрузчика Windows;
• \EFI\Microsoft\Boot\cloak.dat — файл буткита с зашифрованным телом, маскирующимся под стандартные данные;
• замена bootmgfw.efi на вредоносный reloader.efi, а также удаление bootx64.efi, используемого при стандартной загрузке.

Оригинальный загрузочный файл операционной системы сохраняется. Это позволяет, по мнению специалистов, восстановить его при получении выкупа — то есть при успешной оплате преступникам.

После завершения всех подготовительных операций HybridPetya инициирует системную ошибку и запускает повторную перезагрузку. На следующем этапе система загружается уже с активным буткитом, который начинает шифровать основную таблицу файлов (MFT), применяя алгоритм Salsa20 с одноразовым кодом. Параллельно пользователю демонстрируется фальшивое сообщение CHKDSK, визуально повторяющее действия NotPetya.

По завершении шифрования компьютер перезапускается вновь, и на экране появляется требование перечислить выкуп — 1000 долларов в криптовалюте. Взамен пользователь получает код длиной 32 символа. Ввод этого кода позволяет восстановить загрузку и вернуть доступ к данным.