近期发现的名为HybridPetya的勒索软件变种能够绕过UEFI安全启动功能，在EFI系统分区安装恶意应用程序。

HybridPetya的设计灵感似乎源自具有破坏性的Petya/NotPetya恶意软件——后者曾在2016年和2017年的攻击中加密计算机并阻止Windows启动，且未提供恢复选项。

网络安全公司ESET的研究人员在VirusTotal上发现了HybridPetya样本，指出其可能是一个研究项目、概念验证，或是仍在有限测试阶段的网络犯罪工具早期版本。尽管如此，ESET表示，该样本的出现与BlackLotus、BootKitty、Hyper-V Backdoor等案例一样，证明具备安全启动绕过功能的UEFI bootkit是真实存在的威胁。

HybridPetya融合了Petya和NotPetya的特征，包括这些早期恶意软件的视觉风格和攻击链。然而，开发者增加了新功能，例如安装至EFI系统分区，以及通过利用CVE-2024-7344漏洞实现绕过安全启动的能力。ESET于今年1月发现该漏洞，其问题在于微软签名的应用程序可能被滥用于部署bootkit，即使目标设备已启用安全启动保护。

启动后，HybridPetya会检测主机是否使用UEFI与GPT分区，并向EFI系统分区投放包含多个文件的恶意bootkit。这些文件包括配置与验证文件、修改后的引导加载程序、备用UEFI引导加载程序、漏洞利用载荷载体，以及跟踪加密进度的状态文件。

ESET列出了所分析的HybridPetya变种中使用的文件：

\EFI\Microsoft\Boot\config（加密标识+密钥+随机数+受害者ID）\EFI\Microsoft\Boot\verify（用于验证解密密钥正确性）\EFI\Microsoft\Boot\counter（加密簇进度追踪器）\EFI\Microsoft\Boot\bootmgfw.efi.old （原始引导加载程序备份）\EFI\Microsoft\Boot\cloak.dat （在绕过安全启动的变种中保存XOR混淆的bootkit）

此外，恶意软件会用存在漏洞的“reloader.efi ”替换\EFI\Microsoft\Boot\bootmgfw.efi ，并删除\EFI\Boot\bootx64.efi 。原始Windows引导加载程序会被保存，以便在受害者支付赎金后恢复系统时激活。

部署完成后，HybridPetya会像早期Petya一样触发蓝屏死机（BSOD） 并显示虚假错误，强制系统重启，使恶意bootkit在启动时执行。此时，勒索软件会利用从config文件中提取的Salsa20密钥和随机数加密所有MFT簇，同时显示类似NotPetya的伪造CHKDSK界面。加密完成后，系统再次重启，启动时显示勒索信，要求支付1000美元比特币赎金。作为交换，受害者会获得一个32字符密钥，可在勒索信界面输入以恢复原始引导加载程序、解密簇并提示重启。

尽管目前尚未发现HybridPetya在真实攻击中使用，但类似的概念验证项目可能随时被武器化，针对未打补丁的Windows系统发起大规模攻击。相关入侵指标已在GitHub仓库发布，供防御使用。微软已在2025年1月的“补丁星期二”中修复CVE-2024-7344漏洞，安装该更新或更高版本安全补丁的Windows系统可免受HybridPetya攻击。防范勒索软件的另一有效措施是对重要数据进行离线备份，以便自由且轻松地恢复系统。