Эксперты компании ESET сообщили об обнаружении опасного вируса-вымогателя нового поколения — HybridPetya. Он является продолжением известных семейств Petya и NotPetya, но отличается ключевой особенностью: вредонос способен обходить механизм UEFI Secure Boot, используя уязвимость, закрытую лишь в начале 2025 года.

Как работает HybridPetya

Первые образцы вируса появились в базе VirusTotal в феврале 2025 года. Вредоносный код встраивается в системный раздел EFI, внося изменения в загрузчик UEFI и внедряя буткит. После этого система сталкивается с «синим экраном смерти» (BSoD), а при перезапуске активируется шифровка данных.

HybridPetya имеет двухкомпонентную архитектуру:

• установщик — внедряет изменения в загрузчик;

• буткит — запускается до операционной системы и отвечает за процесс шифрования.

Во время атаки вирус имитирует процесс проверки диска (CHKDSK), скрывая факт шифрования. Ключевые файлы и Master File Table (MFT) шифруются алгоритмом Salsa20, что делает недоступными все разделы NTFS.

Сценарии работы вредоноса

Буткит ведёт учёт процесса с помощью служебного файла «counter» и может находиться в одном из трёх состояний:

• 0 — система готова к шифрованию;

• 1 — диск зашифрован;

• 2 — данные расшифрованы после оплаты выкупа.

Жертве предлагается заплатить $1000 в биткоинах за уникальный ключ для восстановления информации. По данным исследователей, с февраля по май 2025 года на указанный кошелёк поступило всего $183,32.

Использование уязвимости CVE-2024-7344

Некоторые версии HybridPetya используют CVE-2024-7344 (рейтинг CVSS — 6,7), обнаруженную в приложении Reloader UEFI. Уязвимость позволяла выполнять код в обход Secure Boot. Вредонос маскируется, подменяя системные файлы загрузки («bootmgfw.efi») и загружая зашифрованный буткит («cloak.dat»), полностью обходя проверки целостности. Microsoft устранила уязвимость в январе 2025 года.

Отличие от NotPetya

Если NotPetya полностью уничтожал данные, то HybridPetya оставляет возможность их восстановления после оплаты. Этот фактор делает его классическим шифровальщиком, а не «вайпером».

Угроза или исследовательский проект?

На данный момент ESET не нашла доказательств массового распространения вируса. Исследователи предполагают, что HybridPetya может быть создан как экспериментальный инструмент, демонстрирующий, что обход UEFI Secure Boot вполне реален. Однако подобные разработки неизбежно повышают интерес злоумышленников и риски для корпоративных систем.

Итог: HybridPetya демонстрирует новый уровень угрозы — эксплуатацию уязвимостей в загрузчике UEFI и возможность шифрования данных ещё до старта операционной системы. Даже если текущие образцы не предназначены для массовых атак, появление подобных вирусов подтверждает необходимость регулярных обновлений и защиты инфраструктуры от сложных буткитов.