详细内容或原文请订阅后点击阅览
Hybridpetya勒索软件绕过uefi安全启动petya/notpetya
Hybridpetya勒索软件绕过UEFI安全引导以感染EFI分区,与2016 - 2017年臭名昭著的Petya/NotPetya攻击相呼应。 ESET研究人员在平台Virustotal上发现了一种名为Hybridpetya的新勒索软件。该恶意软件呼应了臭名昭著的Petya/NotPetya恶意软件,支持其他功能,例如损害基于UEFI的系统,并利用CVE ‑ 2024-7344来绕过过时的系统上的UEFI Secure启动。 “有趣的是,[…]
来源:Security Affairs _恶意软件Hybridpetya勒索软件绕过uefi安全启动petya/notpetya
Pierluigi Paganini 2025年9月13日Hybridpetya勒索软件绕过UEFI安全引导以感染EFI分区,与2016 - 2017年臭名昭著的Petya/NotPetya攻击相呼应。
ESET研究人员在平台Virustotal上发现了一种名为Hybridpetya的新勒索软件。该恶意软件呼应了臭名昭著的Petya/NotPetya恶意软件,支持其他功能,例如损害基于UEFI的系统,并利用CVE ‑ 2024-7344来绕过过时的系统上的UEFI Secure启动。
Petya notpetya CVE ‑ 2024-7344 UEFI安全启动“有趣的是,负责生成受害者个人安装密钥的代码似乎受到Redpetyaopenssl POC的启发。”阅读ESET发布的报告。 “我们意识到至少有一个与uefi兼容的poc重写,被称为notpetyaagain,用生锈书写;但是,该代码与Hybridpetya无关。”
redpetyaopenssl 报告 notpetyaagain Rust与NotPetya不同,Hybridpetya充当Petya等真正的勒索软件,可以解密。研究人员怀疑该样本可以与2025年9月9日首次讨论的UEFI PETYA POC有关,这表明Hybridpetya可能是一个研究项目。
讨论ESET研究人员发布了Hybridpetya组件,靴子套件和安装程序的技术分析。
UEFI Bootkit有两个类似的版本。在执行时,它检查了配置文件中的加密标志:0(Ready),1(加密)或2(解密)。
如果设置为0,则提取salsa20键和nonce,零,配置文件密钥,将标志设置为1,加密“验证”文件,然后创建一个计数器文件。 Bootkit搜索NTFS分区并加密主文件表。然后,恶意代码将使用加密群集的数量更新计数器文件,并显示伪造的CHKDSK状态。加密后,恶意软件重新启动。如果磁盘已被加密(标志1),则显示赎金注释并接受32个字符键。
“验证” 验证 BlackLotus