Az ESET kutatói egy új zsarolóvírust azonosítottak, amely a HybridPetya nevet kapta. A kártevő a hírhedt Petya és NotPetya mintájára készült, de egy veszélyes új képességgel rendelkezik: képes megkerülni az UEFI Secure Boot védelmet. Ez a technológia alapvetően azt a célt szolgálja, hogy a számítógép indításakor csak megbízható szoftverek kerüljenek betöltésre, a HybridPetya azonban át tudja törni ezt a védelmi vonalat.

A HybridPetya nevű zsarolóvírus a korábbi változatoknál is kifinomultabb módszereket alkalmaz.

Fotó: Tero Vesalainen / Shutterstock/Copyright (c) 2017 Tero Vesalainen/Shutterstock. No use without permission.

Miért számít újdonságnak a HybridPetya?

A kártevő több fronton is továbbfejlesztette elődei módszereit. Az egyik legfontosabb újítás, hogy képes egy rosszindulatú EFI alkalmazást elhelyezni az EFI System Partition területén, így a támadás még a rendszerindítás előtt megkezdődhet. Emellett egy ismert sebezhetőséget, a CVE-2024-7344 hibát használja ki, amely lehetővé teszi, hogy az eszköz ellenőrzés nélkül engedje át a fertőzött bootkomponenst.

A HybridPetya emellett az NTFS fájlrendszer legkritikusabb részét, a Master File Table-t titkosítja. Ez a struktúra tartalmaz minden információt a fájlok helyéről és tulajdonságairól, így a zárolása sokszor a teljes rendszer összeomlásához vezet, és a helyreállítást is megnehezíti.

Hogyan dolgozik a kártevő?

A HybridPetya működése során először ellenőrzi, hogy a rendszer készen áll-e a titkosításra. Ha igen, aktiválja a kódot, majd elkezdi a rendszerindításhoz szükséges fájlok titkosítását. Eközben hamis üzeneteket jelenít meg, például a Windows CHKDSK ellenőrzéséhez hasonló figyelmeztetést, hogy az áldozat ne vegye észre azonnal a támadást. Amikor a titkosítás lezárult, a felhasználóval közli, hogy váltságdíj ellenében visszanyerheti adatait.

Mekkora a jelenlegi veszély?

Egyelőre nincs bizonyíték arra, hogy a HybridPetya tömegesen terjedne. A kutatók szerint a most azonosított variáns akár egy kísérleti fejlesztés is lehet, amelyet még nem vetettek be széles körben. Ugyanakkor a képességei miatt komoly figyelmeztetést jelent: az, hogy képes megkerülni a Secure Boot védelmét, új korszakot nyithat a zsarolóvírusok történetében.