A HybridPetya zsarolóprogram megkerüli az UEFI Secure Bootot, hogy rosszindulatúan titkosíthassa a merevlemezeket

Egy új zsarolóprogram, amely képes megkerülni az egyik legjobb biztonsági intézkedést a rosszindulatú lemeztitkosítás ellen.

A HybridPetya egy olyan vírus, amelyet nemrég talált meg az ESET kiberbiztonsági vállalat. A kártevő képes megkerülni az UEFI Secure Bootot, egy olyan Windows segédprogramot, amely a PC bekapcsolásakor ellenőrzi a tárolómeghajtóról bootolni próbáló szoftverek tanúsítványait. Ez a biztonsági ellenőrzés elméletileg megakadályozza a rosszindulatú kódok vagy nem hivatalos szoftverek indítását.

A HybridPetya azonban képes felismerni, ha egy fertőzött meghajtó UEFI-t használ GPT partícionálással, és képes megkerülni a Secure Bootot. Miután megkerülte a Secure Bootot, a kártevő hozzáadja, törli vagy módosítja a bootpartíció meghajtón lévő bootfájlokat, hogy lezárja és titkosítja a meghajtó többi adatát.

Aktiválás után a HybridPetya egy üzenetet jelenít meg a felhasználónak, amely szerint az összes fájlja titkosítva van. A váltságdíjfizetési felszólítás tartalmazza az 1000 USD értékű Bitcoin elküldésére vonatkozó utasításokat is egy pénztárcába. A fertőzött felhasználót arra is felszólítja, hogy küldje el a Bitcoin-tárcáját és egy generált telepítési kulcsot egy ProtonMail e-mail címre, hogy megkapja a dekódoló kulcsot.

Az ESET közölte, hogy szeptember 12-ig nem észleltek valós, HybridPetya-t használó támadást. Ennek fényében úgy tűnik, hogy a zsarolóvírus egy koncepció próbája lehet, vagy a telepítés előtti tesztelési fázisban lehet. A jó hír az, hogy a rosszindulatú szoftver által használt exploitot egy januári Windows javításban (2025. januári Patch Tuesday) javították, így ha egy Windows számítógép naprakész, akkor biztonságban lehet. Egyelőre bizonytalan, hogy a HybridPetya érinthet-e más operációs rendszereket, például a macOS-t vagy a Linuxot.