2025 年 7 月下旬，一系列勒索软件样本出现在 VirusTotal 上，其文件名引用了臭名昭著的 Petya 和 NotPetya 攻击。

与其前身不同，这种被 ESET 分析师称为 HybridPetya 的新威胁表现出超越传统用户区域执行的功能，直接针对易受攻击系统上的 UEFI 固件。

通过特制的存档和 CVE-2024-7344 的利用，HybridPetya 在过时的平台上实现了安全启动绕过，使其能够将恶意 EFI 应用程序安装到 EFI 系统分区中。cloak.dat

HybridPetya 的出现标志着 bootkit 设计的重大演变。该恶意软件利用双组件架构：基于 Windows 的安装程序和 EFI 引导套件。

部署后，安装程序会找到 EFI 系统分区，备份合法的引导加载程序，删除 Salsa20 加密的配置文件 （），并植入加密验证阵列 （）。\EFI\Microsoft\Boot\config\EFI\Microsoft\Boot\verify

然后，触发的 BSOD 强制系统通过受感染的引导加载程序重新加载，从而在下次启动时激活 EFI 组件。

ESET 研究人员发现 HybridPetya 同时支持遗留系统和 UEFI 系统;然而，它真正的创新在于通过 CVE-2024-7344 漏洞绕过 UEFI 安全启动。

在缺乏 Microsoft 2025 年 1 月更新的受影响系统中，恶意应用程序伪装成受信任的 Microsoft 签名的二进制文件。dbxreloader.efi

执行时，它将随附的文件视为合法有效负载，加载和执行 XOR 混淆的 EFI bootkit，而无需签名验证。cloak.dat

该技术反映了 ESET 在早期咨询报告中详细介绍的利用方法，尽管在勒索软件框架内被武器化。

一旦 EFI bootkit 在作系统前阶段获得控制权，它就会读取其配置和加密标志。

如果标志设置为“准备加密”，则 bootkit 将提取 Salsa20 密钥和随机数，重写配置标志，并在所有检测到的分区上加密 NTFS 主文件表 （MFT） 。

在此过程中，会向受害者显示一条类似 CHKDSK 的欺骗性进度消息，掩盖恶意活动。

加密完成后，系统重新启动，显示 NotPetya 风格的勒索字条。

感染机制和持久性

HybridPetya 的感染机制取决于其 Windows 安装程序和 UEFI bootkit 之间的相互作用。

安装程序首先调用本机 API 来诱导关闭，确保恶意引导加载程序将在重新启动时执行：-NtRaiseHardError

NtRaiseHardError(STATUS_HOST_DOWN, 0, 0, NULL, OptionShutdownSystem, &Response);

此崩溃技巧可确保 UEFI 组件在安全启动强制下运行，或者，如果系统过时，则绕过安全启动。

重新启动后，EFI 应用程序会找到 ，检查加密标志，并分支到加密或解密逻辑。\EFI\Microsoft\Boot\config

要解密，受害者必须输入一个 32 个字符的密钥;然后，EFI bootkit 解密文件，如果明文与一系列 0x07 字节匹配，则继续从其备份中恢复 MFT 和合法引导加载程序。verify.old

通过将这种持久性直接嵌入到固件层中，HybridPetya 确保勒索软件无法被标准作系统级修复工具删除，从而提高其弹性并将其视为针对固件的威胁的里程碑。