Вирус-вымагатель HybridPetya обходит UEFI Secure Boot в Windows

Обнаружен новый образец вредоносного ПО под названием HybridPetya, которое может обходить защитный механизм UEFI Secure Boot в Windows, передаёт NotebookCheck.

Функция Secure Boot обычно проверяет цифровые сертификаты программ, загружаемых с накопителя во время запуска компьютера, и блокирует выполнение неавторизованного кода. HybridPetya анализирует, используется ли на устройстве прошивка UEFI с разметкой GPT, и в случае подтверждения обходит этот механизм. После этого вредоносное ПО получает возможность изменять или удалять файлы в загрузочном разделе, а также шифровать данные, лишая владельца доступа к ним.

После активации программа показывает сообщение о шифровании файлов и требует выплатить выкуп в размере 1000 долларов в биткойнах. В инструкции указывается адрес криптокошелька для перевода средств и электронная почта на ProtonMail, куда необходимо отправить собственный адрес кошелька и установочный ключ для получения кода расшифровки.

По состоянию на 12 сентября 2025 года ESET не зафиксировала реальных атак с использованием HybridPetya. Эксперты считают, что образец может находиться в стадии тестирования и ещё не распространяется массово.

Уязвимость, на которой основывается этот шифровальщик, была устранена в январском обновлении Windows (Patch Tuesday, январь 2025 года). Пользователи, установившие последние патчи, защищены от угрозы.

Пока не известно, может ли HybridPetya воздействовать на другие операционные системы, включая macOS и Linux.