石頭自清潔掃拖機器人G10S評測:多年黑科技集大成之作 懶人終極福音
科技圈經常能看到一個詞叫“縫合怪”,用來形容那些把好多功能或者外觀結合在一起的產品,通常這樣的詞是貶義詞,但如果真的是產品縫合的好、縫合的實用的話,那它就成了中性詞,今
9 月 13 日消息,ESET 昨晚發布公告,稱其安全研究人員發現并命名了一種叫做 HybridPetya 的新型勒索軟件。它能夠繞過微軟 UEFI 安全啟動機制,在 EFI 系統分區中安裝惡意應用程序。
據稱,HybridPetya 源自 2016 年至 2017 年間爆發的 Petya 與 NotPetya 惡意軟件。當時,這些攻擊通過加密系統阻止 Windows 啟動,但未提供恢復手段。
ESET 研究人員在 VirusTotal 平臺上發現了 HybridPetya 的樣本,他們指出,這一發現可能僅是研究項目、概念驗證,或是仍處于測試階段的早期攻擊工具。
研究人員表示,HybridPetya 的出現再次證明帶有安全啟動繞過功能的 UEFI 引導工具包已成為現實威脅,類似案例還包括 BlackLotus、BootKitty 和 Hyper-V Backdoor。
與 Petya 相比,HybridPetya 增加了多項新特性:使其能夠安裝到 EFI 系統分區,并通過利用漏洞 CVE-2024-7344 來繞過安全啟動機制。該漏洞由 ESET 于 2025 年 1 月披露,問題源自微軟簽名的應用程序,可被惡意利用來部署引導工具包,即使目標設備已啟用安全啟動。
一旦運行,HybridPetya 會檢測主機是否使用 UEFI 與 GPT 分區,并將多個文件寫入 EFI 系統分區,包括配置與驗證文件、修改后的引導加載程序、備用加載程序、利用代碼載體和加密進度狀態文件。ESET 在分析中列舉的文件包括:
/EFI/Microsoft/Boot/config(加密標識、密鑰、隨機數及受害者 ID)
/EFI/Microsoft/Boot/verify(用于驗證解密密鑰正確性)
/EFI/Microsoft/Boot/counter(加密進度追蹤)
/EFI/Microsoft/Boot/bootmgfw.efi.old(原始引導加載程序備份)
/EFI/Microsoft/Boot/cloak.dat(在繞過安全啟動的變種中保存被混淆的 bootkit)
此外,惡意軟件會用存在漏洞的“reloader.efi”替換 /EFI/Microsoft/Boot/bootmgfw.efi,并刪除 /EFI/Boot/bootx64.efi。原始 Windows 引導加載程序會被保存,以便在受害者支付贖金后恢復系統。
感染后,HybridPetya 會觸發藍屏死機(BSOD),顯示虛假報錯并強制重啟。重啟后,惡意引導工具包即可加載,隨后利用 Salsa20 加密算法加密所有 MFT 簇,并顯示偽造的 CHKDSK 界面。加密完成后,系統再次重啟,并在啟動時顯示勒索信。
勒索信息要求受害者支付 1000 美元(注:現匯率約合 7124 元人民幣)比特幣贖金。支付后,受害者可獲得一個 32 字符的密鑰,用于解密數據并恢復原始引導加載程序。
目前尚未發現 HybridPetya 在真實攻擊場景中的使用,但 ESET 提醒,類似的概念驗證項目可能會被武器化,并在未來大規模攻擊中針對未修補的 Windows 系統。相關威脅的妥協指標已在 GitHub 公開。
值得一提的是,微軟已在 2025 年 1 月的補丁星期二修復了 CVE-2024-7344 漏洞,安裝該更新或更高版本安全補丁的 Windows 系統可免受 HybridPetya 攻擊。
本文鏈接:http://www.www897cc.com/showinfo-119-181702-0.html微軟漏洞遭利用,新型 HybridPetya 勒索軟件可繞過 UEFI 安全啟動機制
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 微軟 Visual Studio 2026 推薦 64GB 內存和 16 核 CPU 引熱議,架構師解釋稱方便程序員申請更好的電腦
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號