Исследователи из компании ESET сообщилио появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей – установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: “0” – готово к шифрованию, “1” – диск уже зашифрован, “2” – выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл EFIMicrosoftBootverify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение “2”. Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление “синего экрана”. Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованнымнезависимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.