Вірус-вимагач Hybrid Petya обходить UEFI Secure Boot у Windows

Виявлено новий зразок шкідливого програмного забезпечення під назвою HybridPetya, яке може обходити захисний механізм UEFI Secure Boot у Windows, передає NotebookCheck.

Функція Secure Boot зазвичай перевіряє цифрові сертифікати програм, що завантажуються з накопичувача під час запуску комп’ютера, та блокує виконання неавторизованого коду. HybridPetya аналізує, чи використовується на пристрої прошивка UEFI з розміткою GPT, і у разі підтвердження обходить цей механізм. Після цього шкідливе програмне забезпечення отримує можливість змінювати або видаляти файли в завантажувальному розділі, а також шифрувати дані, позбавляючи власника доступу до них.

Після активації програма показує повідомлення про шифрування файлів і вимагає виплатити викуп у розмірі 1000 доларів у біткойнах. В інструкції вказується адреса криптогаманця для переказу коштів та електронна пошта на ProtonMail, куди необхідно відправити власну адресу гаманця та інсталяційний ключ для отримання коду розшифровки.

Станом на 12 вересня 2025 року ESET не зафіксувала реальних атак із використанням HybridPetya. Експерти вважають, що зразок може перебувати на стадії тестування і ще не поширюється масово.

Уразливість, на якій ґрунтується цей шифрувальник, була усунена у січневому оновленні Windows (Patch Tuesday, січень 2025 року). Користувачі, які встановили останні патчі, захищені від загрози.

Поки не відомо, чи HybridPetya може впливати на інші операційні системи, включаючи macOS і Linux.