Utpressningsprogrammet HybridPetya kringgår UEFI Secure Boot för att kryptera hårddiskar på ett illvilligt sätt

En ny typ av ransomeware, och den kan kringgå en av de bästa säkerhetsåtgärderna mot skadlig diskkryptering.

HybridPetya är ett virus som nyligen hittades av cybersäkerhetsföretaget ESET. Det skadliga programmet kan kringgå UEFI Secure Boot, ett Windows-verktyg som kontrollerar certifikat för programvara som försöker starta på en lagringsenhet när en dator slås på. Denna säkerhetskontroll förhindrar i teorin skadlig kod eller inofficiell programvara från att starta.

HybridPetya kan dock upptäcka när en infekterad enhet använder UEFI med GPT-partitionering och kan kringgå Secure Boot. När den väl har kringgått Secure Boot lägger den skadliga koden till, raderar eller ändrar startfiler på startpartitionen för att låsa och kryptera resten av enhetens data.

När HybridPetya har aktiverats får användaren ett meddelande som anger att alla filer är krypterade. Lösenmeddelandet innehåller också instruktioner om att skicka Bitcoin till ett värde av 1000 USD till en plånbok. Den infekterade användaren uppmanas också att skicka sin Bitcoin-plånbok och en genererad installationsnyckel till en ProtonMail-e-postadress för att få en dekrypteringsnyckel.

ESET uppgav att de inte hade märkt av några verkliga attacker med HybridPetya den 12 september. I det ljuset verkar det som om ransomware kan vara ett proof-of-concept eller kan vara i en testfas före en utplacering. Den goda nyheten är att utnyttjandet som används av skadlig programvara behandlades i en Windows-patch redan i januari (januari 2025 Patch Tuesday), så om en Windows-dator är uppdaterad bör den vara säker. Det är osäkert om HybridPetya kan påverka andra operativsystem som macOS eller Linux.