HybridPetya: новый рансомварный бооткит, обходящий UEFI Secure Boot и шифрующий MFT

Исследователи ESET обнаружили новую разновидность рансомвара, получившую имя HybridPetya — «гибрид», который сочетает в себе методы Petya/NotPetya и современный UEFI-бооткит, способный компрометировать системы с включённым Secure Boot при наличии старой уязвимости. Образцы были загружены на VirusTotal в феврале 2025 года и затем проанализированы командой ESET, которая описала цепочку действий и механизм работы вредоноса.

HybridPetya состоит минимум из двух компонентов: инсталлятора и бооткита. Инсталлятор кладёт на EFI System Partition вредоносное приложение (модифицированный UEFI-бинарник), которое инициализирует процесс шифрования Master File Table (MFT) — служебной структуры NTFS, содержащей метаданные обо всех файлах на разделе. В отличие от классического Petya, который атаковал загрузчик и блокировал доступ к системе, HybridPetya использует UEFI-компонент как основной механизм шифрования MFT, делая атаку устойчивой и рантаймово независимой от ОС.

Технические детали указывают на следующую логику: бооткит хранит флаг состояния (0 — готов к шифрованию; 1 — уже зашифровано; 2 — выкуп оплачен и диск расшифрован). При первой активации флаг переводится в состояние «1», на EFI-разделе создаётся файл \EFI\Microsoft\Boot\counter, а ключевой файл \EFI\Microsoft\Boot\verify шифруется алгоритмом Salsa20 с ключом и nonce из конфигурации. Значение в counter используется как счётчик зашифрованных кластеров и затем — при расшифровке — как контрольная точка восстановления. Во время шифрования пользователь видит фальшивое сообщение CHKDSK, визуально маскирующее процесс и создающее иллюзию «восстановления» диска.

Особенно тревожная способность HybridPetya — использование уязвимости CVE-2024-7344 (о которой ранее сообщала ESET) для обхода механизма UEFI Secure Boot. В ряде вариантов вредоноса авторы задействовали уязвимый бинарник «reloader.efi» (переименованный в \EFI\Microsoft\Boot\bootmgfw.efi в артефакте) и специальный файл cloak.dat, содержащий XOR-закодированный бооткит. При загрузке reloader.efi считывает cloak.dat и загружает из него UEFI-приложение без каких-либо проверок целостности, что фактически нейтрализует Secure Boot на уязвимых и не обновлённых машинах. Microsoft уже отзывала уязвимый бинарник в январском пакете исправлений 2025 года, но устройства, не получившие обновление или с неотозванной доверенной цепочкой, остаются под угрозой. 

По модели вымогательства HybridPetya предлагает жертве ввести ключ расшифровки через экран с требованием выкупа в 1000 USD в биткоинах (в одном из исследованных образцов адрес указан как 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2). На момент анализа кошелёк был практически пуст; ESET отмечает, что по их данным следов массовых атак в природе пока не обнаружено — найденные образцы могли быть либо ранней версией, либо proof-of-concept, либо ограниченной тестовой кампанией. Тем не менее сценарий представляет серьёзную угрозу, поскольку UEFI-настройки и прошивки обновляются и патчат крайне фрагментарно в корпоративном и потребительском сегментах. 

HybridPetya встраивается в растущий тренд UEFI-бооткитов, способных выживать вне операционной системы и существенно усложнять удаление и расследование инцидентов. ESET отмечает, что это уже, по меньшей мере, четвёртый публично известный пример реального или доказательного UEFI-бооткита с возможностью обхода Secure Boot (наряду с BlackLotus, BootKitty и другими PoC), что показывает: атаки на уровень прошивки становятся «нормой», а не исключением.

Что нужно знать и делать сейчас. Во-первых, обеспечить своевременное применение обновлений — разработчики и администраторы должны подтвердить установку январских и последующих патчей Microsoft, а также ревокацию уязвимых UEFI-бинарников. Во-вторых, проверить целостность и конфигурацию EFI System Partition в критичных системах: необычные или недавно добавленные файлы в \EFI\Microsoft\Boot\ (особенно cloak.dat или переименованные bootmgfw.efi) требуют немедленного внимания. В-третьих, для корпоративных сред рекомендуется использовать средства удалённого управления и AMT/Out-of-band-мониторинг для обнаружения изменений загрузочных записей и необычных BCD-операций; также имеет смысл внедрять контроль целостности прошивок и мониторинг MFT-операций на раннем этапе. 

Выводы. HybridPetya — напоминание о том, что атаки на ранний этап загрузки системы и на прошивку представляют собой один из самых серьёзных векторов угроз: такие атаки обходят традиционные антивирусы, ансайклонные контрольные точки и требуют специализированных методов детектирования и восстановления. Даже если конкретный образец пока не развёрнут «в дикой природе» в крупном масштабе, инженерная проработка подобных атак и их доступность в виде PoC делают вопрос критическим для всех организаций, ответственных за безопасность конечных узлов. Индустрии пора рассматривать Secure Boot и обновления прошивок не как «рекомендуемые», а как обязательную часть операционной гигиены.

Берегите себя и свои нервы.