В новом вредоносе HybridPetya появилась возможность обхода защиты UEFI Secure Boot

Специалисты антивирусной компании ESET предупредили о появлении обновлённой версии известного вируса, получившего наименование HybridPetya. Штамм похож на предыдущие вариации вирусов семейства Petya/NotPetya, однако он существенно отличается, так как способен взламывать Secure Boot UEFI, воспользовавшись известной уязвимостью, которую Microsoft устранила ещё в начале текущего года.

Впервые образцы этого вируса появились на сервисе анализа угроз VirusTotal в феврале 2025 года. Согласно данным исследований, этот вредонос внедряет своё вредоносное приложение в системный раздел EFI, заменяя оригинальный загрузочный сектор собственной версией. Таким образом, во время старта компьютера контроль передается вирусу, а не штатной ОС. Вредонос вводит специальный индикатор состояния шифрования, который может указывать на выполненное действие системой. Пользователю выводится уведомление BSOD с «синим экраном смерти», после чего начинается этап шифрования. Прежде всего вирус поражает важные файлы операционной и дисковой системы, вызывая невозможность нормального функционирования Windows. Жертве приходит уведомление о требованиях перевести выкуп на специально созданный электронный кошелек. Если жертва соглашается и оплачивает требуемую сумму, ей предоставляется уникальный ключ для восстановления доступа к файлам. Раньше считалось, что внедрение вредоносного кода на столь раннем этапе невозможно из-за жестких проверок подлинности подписанных драйверов и приложений.

Источник: https://www.welivesecurity.com