Новий вірус-вимагач HybridPetya обходить UEFI Secure Boot в Windows та шифрує жорсткі диски

Фахівці з кібербезпеки компанії ESET виявили новий зразок шкідливого програмного забезпечення під назвою HybridPetya, здатний обходити механізм захисту UEFI Secure Boot у Windows. Про це пише NotebookCheck.

UEFI Secure Boot зазвичай перевіряє цифрові сертифікати програм, що завантажуються з накопичувача під час ввімкнення комп’ютера, і блокує запуск неавторизованого або шкідливого коду.

HybridPetya визначає, чи використовується на зараженому пристрої UEFI з розміткою GPT, і у разі підтвердження обходить Secure Boot. Після цього шкідник змінює, видаляє або додає файли у завантажувальному розділі, що дозволяє заблокувати доступ до решти даних на диску та зашифрувати їх.

Після активації програма відображає повідомлення про шифрування файлів і вимагає сплатити $1000 у біткойнах. У тексті вказується адреса криптогаманця для переказу коштів, а також інструкції надіслати власну адресу гаманця та згенерований інсталяційний ключ на електронну пошту ProtonMail для отримання ключа розшифрування.

Станом на 12 вересня 2025 року ESET не зафіксувала реальних атак із використанням HybridPetya. Експерти припускають, що зразок може бути прототипом або перебувати на етапі тестування перед поширенням.

Вразливість, яку використовує цей шкідник, була усунена у січневому оновленні Windows (Patch Tuesday, січень 2025 року). Тому користувачі, які встановили актуальні оновлення, захищені від цієї загрози.

Наразі невідомо, чи здатен HybridPetya впливати на інші операційні системи, зокрема на macOS або Linux.