HybridPetya: UEFI orqali kirib kelayotgan yangi xavf

2025-yil yozining oxirida VirusTotal platformasida “Petya” va “NotPetya” hujumlarini eslatuvchi yangi zararli dasturiy namunalar paydo bo‘ldi. Mutaxassislar uni HybridPetya deb atashdi. Bu ransomware odatiy viruslardan farqli o‘laroq, faqat operatsion tizim ichida emas, balki kompyuterning eng muhim qismi — UEFI firmware bosqichiga hujum qiladi.

Nima uchun HybridPetya xavfli?

Oddiy ransomware odatda Windows yuklangandan keyin ishlaydi. HybridPetya esa UEFI Secure Boot mexanizmidagi CVE-2024-7344 zaifligidan foydalanib, tizim yuklanishidan oldin ishga tushadi. Agar kompyuter yangilanishlarni o‘z vaqtida olmagan bo‘lsa, bu zararli kod “Microsoft imzolagan” ilova ko‘rinishida o‘zini ko‘rsatib, hech qanday tekshiruvsiz yuklanadi.

Hujum qanday amalga oshadi?

HybridPetya ikki qismdan iborat:

  1. Windows o‘rnatgich – EFI System Partition ni topib, haqiqiy yuklovchilarni zahiraga oladi va zararli fayllarni joylashtiradi. So‘ngra tizimni majburan ishdan chiqarib (BSOD), qayta ishga tushishga majbur qiladi.
  2. EFI bootkit – keyingi yuklanishda tizim boshqaruvini qo‘lga oladi. Konfiguratsiya faylidan maxfiy kalitni olib, NTFS fayl tizimining asosiy qismi — MFT (Master File Table) ni shifrlaydi.

Bu jarayonda foydalanuvchiga “CHKDSK”ga o‘xshash soxta tekshiruv oynasi ko‘rsatiladi, aslida esa fayllar shifrlanmoqda. Shundan so‘ng kompyuter qayta yuklanib, NotPetya uslubidagi talabnoma xabari chiqadi.

Qayta tiklash imkoniyati bormi?

Nazariy jihatdan, maxsus 32 belgili kalit kiritilsa, bootkit MFTni va eski yuklovchilarni zaxiradan qayta tiklay oladi. Ammo amalda bu kalitni olish deyarli imkonsiz, ya’ni qurilmani oddiy vositalar bilan qutqarish juda qiyin.

Kimlar eng ko‘p xavf ostida?

  • Yangilanmagan Windows va UEFI firmware foydalanuvchilari.
  • Microsoft tomonidan chiqarilgan dbx yangilanishlarini o‘rnatmagan tizimlar.
  • Korxonalarda ishlatilayotgan eski serverlar va nazoratsiz qolgan ishchi stansiyalar.

Himoyalanish uchun tavsiyalar

  1. Tizimingizni va UEFI firmware-ni doimiy yangilang.
  2. Microsoft dbx yangilanishlarini tekshirib, o‘rnating.
  3. Muhim fayllaringizni muntazam offline zaxira qilib boring.
  4. Secure Boot sozlamalarini tekshiring, imkon bo‘lsa Secured-core PC yoki kuchaytirilgan xavfsizlik rejimidan foydalaning.
  5. Antivirus va EDR vositalarini yangilab turing, IOC indikatorlarini kuzatib boring.

HybridPetya oddiy ransomware emas — u firmware darajasida yashirinib, kompyuterni butunlay falaj qilishi mumkin. Bu hodisa kiberjinoyatchilar tobora chuqurroq qatlamlarga kirib borayotganini ko‘rsatadi. Shunday ekan, yagona samarali chora — doimiy yangilanish, zaxira siyosati va yuqori darajadagi ogohlikdir.