IT之家 9 月 13 日消息，ESET 昨晚發(fā)布公告，稱其安全研究人員發(fā)現(xiàn)并命名了一種叫做 HybridPetya 的新型勒索軟件。它能夠繞過微軟 UEFI 安全啟動(dòng)機(jī)制，在 EFI 系統(tǒng)分區(qū)中安裝惡意應(yīng)用程序。

據(jù)稱，HybridPetya 源自 2016 年至 2017 年間爆發(fā)的 Petya 與 NotPetya 惡意軟件。當(dāng)時(shí)，這些攻擊通過加密系統(tǒng)阻止 Windows 啟動(dòng)，但未提供恢復(fù)手段。

ESET 研究人員在 VirusTotal 平臺(tái)上發(fā)現(xiàn)了 HybridPetya 的樣本，他們指出，這一發(fā)現(xiàn)可能僅是研究項(xiàng)目、概念驗(yàn)證，或是仍處于測試階段的早期攻擊工具。

研究人員表示，HybridPetya 的出現(xiàn)再次證明帶有安全啟動(dòng)繞過功能的 UEFI 引導(dǎo)工具包已成為現(xiàn)實(shí)威脅，類似案例還包括 BlackLotus、BootKitty 和 Hyper-V Backdoor。

與 Petya 相比，HybridPetya 增加了多項(xiàng)新特性：使其能夠安裝到 EFI 系統(tǒng)分區(qū)，并通過利用漏洞 CVE-2024-7344 來繞過安全啟動(dòng)機(jī)制。該漏洞由 ESET 于 2025 年 1 月披露，問題源自微軟簽名的應(yīng)用程序，可被惡意利用來部署引導(dǎo)工具包，即使目標(biāo)設(shè)備已啟用安全啟動(dòng)。

一旦運(yùn)行，HybridPetya 會(huì)檢測主機(jī)是否使用 UEFI 與 GPT 分區(qū)，并將多個(gè)文件寫入 EFI 系統(tǒng)分區(qū)，包括配置與驗(yàn)證文件、修改后的引導(dǎo)加載程序、備用加載程序、利用代碼載體和加密進(jìn)度狀態(tài)文件。ESET 在分析中列舉的文件包括：

• \EFI\Microsoft\Boot\config（加密標(biāo)識(shí)、密鑰、隨機(jī)數(shù)及受害者 ID）

• \EFI\Microsoft\Boot\verify（用于驗(yàn)證解密密鑰正確性）

• \EFI\Microsoft\Boot\counter（加密進(jìn)度追蹤）

• \EFI\Microsoft\Boot\bootmgfw.efi.old（原始引導(dǎo)加載程序備份）

• \EFI\Microsoft\Boot\cloak.dat（在繞過安全啟動(dòng)的變種中保存被混淆的 bootkit）

此外，惡意軟件會(huì)用存在漏洞的“reloader.efi”替換 \EFI\Microsoft\Boot\bootmgfw.efi，并刪除 \EFI\Boot\bootx64.efi。原始 Windows 引導(dǎo)加載程序會(huì)被保存，以便在受害者支付贖金后恢復(fù)系統(tǒng)。

感染后，HybridPetya 會(huì)觸發(fā)藍(lán)屏死機(jī)（BSOD），顯示虛假報(bào)錯(cuò)并強(qiáng)制重啟。重啟后，惡意引導(dǎo)工具包即可加載，隨后利用 Salsa20 加密算法加密所有 MFT 簇，并顯示偽造的 CHKDSK 界面。加密完成后，系統(tǒng)再次重啟，并在啟動(dòng)時(shí)顯示勒索信。

勒索信息要求受害者支付 1000 美元（IT之家注：現(xiàn)匯率約合 7124 元人民幣）比特幣贖金。支付后，受害者可獲得一個(gè) 32 字符的密鑰，用于解密數(shù)據(jù)并恢復(fù)原始引導(dǎo)加載程序。

目前尚未發(fā)現(xiàn) HybridPetya 在真實(shí)攻擊場景中的使用，但 ESET 提醒，類似的概念驗(yàn)證項(xiàng)目可能會(huì)被武器化，并在未來大規(guī)模攻擊中針對未修補(bǔ)的 Windows 系統(tǒng)。相關(guān)威脅的妥協(xié)指標(biāo)已在 GitHub 公開。

值得一提的是，微軟已在 2025 年 1 月的補(bǔ)丁星期二修復(fù)了 CVE-2024-7344 漏洞，安裝該更新或更高版本安全補(bǔ)丁的 Windows 系統(tǒng)可免受 HybridPetya 攻擊。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。