Легендарный вымогатель переродился: как новая версия научилась обходить защиту Windows
Исследователи кибербезопасности зафиксировали новый пример эволюции программ-вымогателей — HybridPetya. Этот вредоносный код сочетает знакомые приёмы Petya и NotPetya, но дополняет их более опасными функциями, позволяющими обходить защиту современных систем.
Чем опасен HybridPetya
Специалисты ESET обнаружили образец вредоноса на сервисе VirusTotal. Они предполагают, что пока это прототип или инструмент для ограниченного тестирования. Тем не менее функционал HybridPetya впечатляет: он может внедряться прямо в системный раздел EFI и запускаться даже при активном механизме Secure Boot. Для этого используется уязвимость CVE-2024-7344, затрагивающая подписанные Microsoft приложения.
"По нашим данным, возобновление производства модели HS не планируется. Вместо нее компания предлагает современный и более технологичный седан Solaris KRS, который выступает достойной альтернативой прежней модели", — сказал директор розничных продаж АГ "Авилон" Илья Петров.
При активации HybridPetya сначала вызывает "синий экран смерти" и перезагрузку. После этого загружается буткит, который начинает шифровать кластеры MFT с помощью алгоритма Salsa20. Пользователь видит поддельное сообщение о проверке диска, а затем на экране появляется требование: перевести 1000 долларов в биткойнах за ключ восстановления.
Файлы, задействованные в заражении
Анализ ESET показал, что в заражённых системах создаются и модифицируются следующие объекты в EFI-разделе:
-
EFIMicrosoftBootconfig — хранит ключи и идентификаторы жертвы;
-
EFIMicrosoftBootverify — проверка корректности расшифровки;
-
EFIMicrosoftBootcounter — отслеживание прогресса шифрования;
-
EFIMicrosoftBootbootmgfw.efi.old — резервная копия загрузчика;
-
EFIMicrosoftBootcloak.dat — XOR-код буткита для обхода Secure Boot.
Оригинальный загрузчик Windows при этом сохраняется, что позволяет "вернуть" систему после оплаты.
Плюсы и минусы
| Плюсы для злоумышленников | Минусы для жертв |
|---|---|
| Сложное обнаружение благодаря обходу Secure Boot | Потеря доступа ко всем данным |
| Возможность шифрования с раннего этапа загрузки | Шанс восстановления только при оплате |
| Поддержка GPT и UEFI-разделов | Высокий выкуп ($1000 в BTC) |
Сравнение с предшественниками
| Особенность | Petya | NotPetya | HybridPetya |
|---|---|---|---|
| Шифрование MFT | Да | Да | Да |
| Восстановление данных | Предусмотрено | Нет | Возможно при вводе ключа |
| Поддельное CHKDSK | Нет | Да | Да |
| Обход Secure Boot | Нет | Нет | Да |
| Установка в EFI-раздел | Нет | Нет | Да |
Как защититься: пошаговые советы
-
Установите все обновления Windows — уязвимость CVE-2024-7344 уже закрыта.
-
Проверьте, активирована ли функция Secure Boot.
-
Используйте антивирусы с поддержкой обнаружения буткитов (ESET, Kaspersky, Dr. Web).
-
Храните резервные копии на внешних носителях, отключённых от сети.
-
Проверяйте подозрительные файлы через сервисы вроде VirusTotal.
Мифы и правда
-
Миф: наличие Secure Boot полностью защищает систему.
Правда: уязвимости в доверенных компонентах позволяют обходить защиту. -
Миф: программы-вымогатели угрожают только домашним ПК.
Правда: они часто нацелены на корпоративные серверы и инфраструктуру. -
Миф: если заплатить выкуп, данные гарантированно вернут.
Правда: злоумышленники не обязаны предоставлять рабочий ключ.
FAQ
Как выбрать антивирус для защиты от буткитов?
Выбирайте решения с активным мониторингом UEFI и регулярными обновлениями баз.
Сколько стоит восстановление данных после HybridPetya?
Злоумышленники требуют $1000 в биткойнах, но платить не рекомендуется. Лучше использовать резервные копии.
Что лучше: резервное копирование в облако или на внешний диск?
Надёжнее комбинировать оба метода, но автономный диск безопаснее от шифровальщиков.
Исторический контекст
-
2016: Petya впервые атакует пользователей Windows, шифруя MFT.
-
2017: NotPetya вызывает масштабные сбои по всему миру.
-
2025: HybridPetya демонстрирует новую тактику — обход Secure Boot через EFI.
Ошибка → Последствие → Альтернатива
-
Ошибка: откладывать установку обновлений Windows.
Последствие: система остаётся уязвимой.
Альтернатива: включить автообновление. -
Ошибка: хранить все данные только на одном жёстком диске.
Последствие: потеря информации без возможности восстановления.
Альтернатива: регулярные резервные копии. -
Ошибка: доверять подозрительным вложениям в письмах.
Последствие: заражение буткитом.
Альтернатива: проверка через антивирус и песочницы.
А что если…
Если HybridPetya выйдет за рамки тестирования и станет инструментом массовых атак, то под угрозой окажутся миллионы компьютеров с UEFI, не обновлённых до последних патчей. Это может вызвать волну новых атак, сопоставимых с ущербом от NotPetya.
Интересные факты
-
Petya изначально распространялся через поддельные вакансии на LinkedIn.
-
NotPetya нанес мировой экономике ущерб на сумму свыше $10 млрд.
-
Алгоритм Salsa20, используемый в HybridPetya, считается одним из самых быстрых потоковых шифров.
Подписывайтесь на NewsInfo.Ru
