Думали, проверка диска? Это была ловушка. Новый вымогатель шифрует всё до запуска Windows

Исследователи ESET описали новый образец вымогательского ПО HybridPetya, который умеет обходить защитный механизм загрузки UEFI Secure Boot на тех системах Windows, где база отзывов ещё не обновлена. Такой приём позволяет перехватывать управление компьютером до старта операционной системы и делает гибрид из шифровальщика и буткита четвёртым публично известным случаем, способным пробить Secure Boot.

Впервые о нём заговорили после того, как в феврале на VirusTotal попали несколько файлов с этим кодом. Название придумали из-за явного сходства с Petya и NotPetya: у новой версии те же привычки работы с диском, но иные цели. На текущем этапе это, судя по признакам, демонстрационный прототип: следов реальных атак не видно, и сетевого распространения по типу NotPetya у образца нет.

Контекст у истории тяжёлый. В 2017-м NotPetya, выдававший себя за Petya, прошёлся по миру и принёс суммарный ущерб более 10 млрд долларов. И Petya, и NotPetya внедряли загрузочные компоненты, перезаписывали MBR, блокировали доступ ко всему накопителю и не давали системе стартовать. HybridPetya наследует подход к запиранию носителя, но использует уязвимость UEFI с идентификатором CVE-2024-7344, которую ESET нашла и раскрыла в этом году. На исправленных компьютерах Microsoft добавила запись об отзыве в UEFI DBX, однако машины без актуальной базы остаются под ударом.

Техническая сердцевина атаки — установка вредоносного EFI-приложения в EFI System Partition (ESP). Именно оно шифрует ключевой файл метаданных NTFS — Master File Table. MFT хранит сведения обо всех объектах на разделе, и его повреждение делает содержимое для пользователя недоступным даже без полного стирания данных.

В отличие от разрушительного NotPetya новый образец ведёт себя как классический вымогатель. Алгоритм формирования персонального install-ключа устроен так, что оператор может восстановить рабочий ключ расшифровки на основе выданного потерпевшему значения и вернуть доступ к файлам — это не безвозвратный вайпер.

Логика загрузочного модуля повторяет схемы прежних семейств. После запуска буткит читает \EFI\Microsoft\Boot\config и смотрит состояние шифрования. Значение 0 обозначает готовность к началу процедуры, 1 — накопитель уже зашифрован, 2 — выкуп внесён, носитель разблокирован.

Если в конфигурации стоит 0, модуль тут же переписывает параметр на 1, шифрует \EFI\Microsoft\Boot\verify при помощи Salsa20, используя ключ и восьмибайтный nonce из того же файла, создаёт \EFI\Microsoft\Boot\counter для счётчика обработанных кластеров и приступает к работе, предварительно определив все разделы с NTFS. На экране при этом появляется имитация штатной проверки диска — интерфейс «CHKDSK» маскирует факт шифрования, как это было у Petya и NotPetya.

Когда флаг уже равен 1, жертва видит классическое уведомление вымогателя, начинающееся фразой «Ooops, your important files are encrypted.». Далее предлагается перевести 1000 долларов в биткоине на адрес 34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2 , который на момент публикации пуст. После ввода корректного ключа программа проводит обратные действия: раскладывает оригинальные загрузчики из резервной копии, созданной на этапе установки, расшифровывает содержимое и просит перезагрузить машину, после чего система должна запуститься в обычном режиме.

ESET подчёркивает: хотя распространения сейчас нет, набор приёмов требует наблюдения. Шифрование MFT, совместимость с современными платформами на UEFI и обход Secure Boot — сочетание, которому в мониторинге угроз придётся уделять внимание.

Открытие HybridPetya становится звеном в цепочке реальных и экспериментальных обходов Secure Boot. До него обсуждали BlackLotus , о котором в 2023-м писал Мартин Смолар после того, как годом ранее Сергей Ложкин заметил лот на подпольных площадках. В ноябре ESET зафиксировала Bootkitty — загрузочный модуль под Linux, попавший на VirusTotal. К четвёрке относят и демонстрационный Hyper-V Backdoor, использовавший CVE-2020-26200. Ещё несколько лет назад подобные сценарии считались почти легендой, сегодня же и «белые», и «чёрные» команды соревнуются в поиске новых вариантов.