باج‌افزار HybridPetya امنیت UEFI را دور زد و هارد دیسک‌ها را قفل کرد

نوع جدیدی از باج‌افزار با نام HybridPetya قادر است از مکانیزم امنیتی UEFI Secure Boot عبور کرده و بدافزار را روی پارتیشن EFI بوت سیستم نصب کند. این بدان معناست که HybridPetya می‌تواند با جلوگیری از بوت شدن ویندوز، هارد دیسک کامپیوتر را گروگان بگیرد. به نظر می‌رسد این بدافزار در حال حاضر در مرحله تحقیق و بررسی قرار دارد و هنوز به صورت عمومی منتشر نشده است.

نوع جدیدی از باج‌افزار کشف شده که قادر است یکی از قوی‌ترین مکانیزم‌های امنیتی مقابله با رمزگذاری مخرب هارد دیسک را دور بزند. باج‌افزار HybridPetya اخیراً توسط شرکت امنیت سایبری ESET شناسایی شده است. این بدافزار می‌تواند از UEFI Secure Boot عبور کند، ابزاری در ویندوز که گواهی نرم‌افزارهایی را که قصد بوت شدن روی درایو ذخیره‌سازی دارند، هنگام روشن شدن کامپیوتر بررسی می‌کند. این بررسی امنیتی به‌طور نظری از اجرای کد مخرب یا نرم‌افزارهای غیررسمی جلوگیری می‌کند.

با این حال، HybridPetya قادر است تشخیص دهد که یک درایو آلوده از UEFI با پارتیشن‌بندی GPT استفاده می‌کند و سپس Secure Boot را دور می‌زند. پس از عبور از Secure Boot، بدافزار فایل‌های بوت را اضافه، حذف یا تغییر می‌دهد تا باقی داده‌های درایو را قفل و رمزگذاری کند.

پس از فعال شدن، HybridPetya پیامی به کاربر نشان می‌دهد که تمام فایل‌هایشان رمزگذاری شده است. یادداشت باج‌خواهی شامل دستورالعمل ارسال معادل ۱۰۰۰ دلار بیت‌کوین به یک کیف پول مشخص است. همچنین از کاربر خواسته می‌شود کیف پول بیت‌کوین خود و یک کلید نصب تولید شده را به آدرس ایمیل ProtonMail ارسال کند تا کلید رمزگشایی دریافت شود.

«شرکت ESET اعلام کرد که تا تاریخ ۱۲ سپتامبر هیچ حمله واقعی‌ای با استفاده از HybridPetya مشاهده نکرده است. با توجه به این موضوع، به نظر می‌رسد این باج‌افزار ممکن است تنها یک نمونه آزمایشی یا در مرحله تست قبل از انتشار عمومی باشد. خبر خوب این است که آسیب‌پذیری مورد استفاده توسط این بدافزار در به‌روزرسانی ویندوز در ژانویه (Patch Tuesday ژانویه ۲۰۲۵) رفع شده است، بنابراین در صورتی که کامپیوتر ویندوزی به‌روز باشد، در امان خواهد بود. هنوز مشخص نیست که آیا HybridPetya می‌تواند سایر سیستم‌عامل‌ها مانند macOS یا لینوکس را تحت تأثیر قرار دهد یا خیر.

منبع خبر : notebookcheck.net