В ESET обнаружили новый вирус-вымогатель HybridPetya, который способен заражать системы с загрузкой через UEFI и обходить защиту Secure Boot. По своим приёмам он напоминает известные Petya и NotPetya 2016−2017 годов, но с рядом новых возможностей.
В отличие от NotPetya, который фактически стирал данные, HybridPetya ведёт себя как классический шифровальщик: после оплаты ($ 1000 в биткойнах) жертва может получить ключ для расшифровки. Вредонос использует уязвимость CVE-2024−7344 на устаревших системах и умеет шифровать таблицу файловой системы NTFS.
После запуска HybridPetya проверяет настройки, генерирует ключ шифрования, шифрует системные файлы и выдаёт фальшивый экран проверки диска. Затем компьютер перезагружается и отображает сообщение с требованием выкупа. Введённый пользователем ключ проверяется, и при его правильности система может восстановиться.
Установщик вируса заменяет загрузочные файлы в EFI-разделе, создаёт конфигурацию с ключами шифрования и заставляет компьютер перезагрузиться в заражённый режим.
Пока распространения «в дикой природе» не зафиксировано.
Источник: www.ferra.ru