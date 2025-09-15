Hírlevél

HybridPetya

Komoly fenyegetést jelent az újfajta zsarolóvírus

Egy új kártevő képes megkerülni a számítógépek Secure Boot védelmét. A HybridPetya nemcsak a fájlokat, hanem a teljes rendszer működését is zárolhatja.
HybridPetyahackertámadászsarolóvírus

Az ESET kutatói egy új zsarolóvírust azonosítottak, amely a HybridPetya nevet kapta. A kártevő a hírhedt Petya és NotPetya mintájára készült, de egy veszélyes új képességgel rendelkezik: képes megkerülni az UEFI Secure Boot védelmet. Ez a technológia alapvetően azt a célt szolgálja, hogy a számítógép indításakor csak megbízható szoftverek kerüljenek betöltésre, a HybridPetya azonban át tudja törni ezt a védelmi vonalat.

A HybridPetya nevű zsarolóvírus a korábbi változatoknál is kifinomultabb módszereket alkalmaz.
Fotó: Tero Vesalainen / Shutterstock

Miért számít újdonságnak a HybridPetya?

A kártevő több fronton is továbbfejlesztette elődei módszereit. Az egyik legfontosabb újítás, hogy képes egy rosszindulatú EFI alkalmazást elhelyezni az EFI System Partition területén, így a támadás még a rendszerindítás előtt megkezdődhet. Emellett egy ismert sebezhetőséget, a CVE-2024-7344 hibát használja ki, amely lehetővé teszi, hogy az eszköz ellenőrzés nélkül engedje át a fertőzött bootkomponenst.

A HybridPetya emellett az NTFS fájlrendszer legkritikusabb részét, a Master File Table-t titkosítja. Ez a struktúra tartalmaz minden információt a fájlok helyéről és tulajdonságairól, így a zárolása sokszor a teljes rendszer összeomlásához vezet, és a helyreállítást is megnehezíti.

Hogyan dolgozik a kártevő?

A HybridPetya működése során először ellenőrzi, hogy a rendszer készen áll-e a titkosításra. Ha igen, aktiválja a kódot, majd elkezdi a rendszerindításhoz szükséges fájlok titkosítását. Eközben hamis üzeneteket jelenít meg, például a Windows CHKDSK ellenőrzéséhez hasonló figyelmeztetést, hogy az áldozat ne vegye észre azonnal a támadást. Amikor a titkosítás lezárult, a felhasználóval közli, hogy váltságdíj ellenében visszanyerheti adatait.

Mekkora a jelenlegi veszély?

Egyelőre nincs bizonyíték arra, hogy a HybridPetya tömegesen terjedne. A kutatók szerint a most azonosított variáns akár egy kísérleti fejlesztés is lehet, amelyet még nem vetettek be széles körben. Ugyanakkor a képességei miatt komoly figyelmeztetést jelent: az, hogy képes megkerülni a Secure Boot védelmét, új korszakot nyithat a zsarolóvírusok történetében.

Hogyan védekezhetünk ellene?

A biztonsági szakértők több fontos lépést javasolnak a védelem érdekében:

  • Rendszeresen frissítsük az operációs rendszert és az UEFI firmware-t, különösen a kritikus sebezhetőségek javítása miatt.
  • Mindig engedélyezzük a Secure Boot funkciót, és állítsuk be a firmware-t úgy, hogy csak megbízható forrásból töltsön be kódot.
  • Használjunk naprakész vírusirtót és biztonsági megoldásokat, amelyek képesek a rendszerindítási folyamat ellenőrzésére.
  • Készítsünk rendszeres, offline biztonsági mentéseket, hogy egy esetleges támadás után legyen lehetőség a helyreállításra.
  • Vállalati környezetben vezessünk be incidenskezelési terveket, és vizsgáljuk felül a kritikus infrastruktúra biztonságát.

Összegzés

A HybridPetya megjelenése figyelmeztetés mindannyiunk számára. A zsarolóvírusok már nemcsak fájlokat titkosítanak, hanem képesek a számítógép alapvető indítási folyamatait is manipulálni. Bár a fenyegetés jelenleg nem terjed tömegesen, a támadók képességeinek fejlődése egyértelmű: egyre mélyebbre hatolnak a rendszerek védelmében.

A mi felelősségünk, hogy időben reagáljunk: frissítésekkel, tudatos biztonsági beállításokkal és rendszeres mentésekkel csökkenthetjük a kockázatot. A HybridPetya esete azt mutatja, hogy a kibertérben a védekezés soha nem állhat meg, hiszen az új fenyegetések mindig a következő rést keresik a pajzson.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!

 

