報導摘要

網路安全領域持續面臨新興威脅，其中勒索軟體 HybridPetya 的出現，標誌著攻擊者正將目標轉向更深層的系統安全機制。這款新型勒索軟體不僅融合了過往知名惡意軟體的特點，更具備了繞過 UEFI 安全啟動（Secure Boot）功能的能力，對現代電腦系統構成重大威脅。其運作模式顯示，駭客正積極利用系統底層漏洞，以達到更徹底的加密與勒索目的。

HybridPetya 技術分析與起源

網路安全公司 ESET 的研究人員在 VirusTotal 上最近發現了一種名為 HybridPetya 的勒索軟體可以繞過 UEFI 安全啟動功能，在 EFI 系統分割區上安裝惡意應用程式。ESET 表示這可能是研究項目、概念驗證項目，或是仍在進行有限測試的網路犯罪工具的早期版本，它的存在表明具有安全旁路功能的 UEFI 啟動套件是一個真正的威脅。

開發人員融合了 Petya 和 NotPetya 的特點，新增了新功能，例如安裝到 EFI 系統分割區以及利用 CVE-2024-7344 漏洞繞過安全啟動的能力。ESET 於今年 1 月發現了該漏洞，該問題存在於 Microsoft 簽署的應用程式中，即使目標上啟用了安全啟動保護，也可能被利用來部署啟動工具包。

這款惡意軟體之所以被稱為「HybridPetya」，是因為它繼承了 2016 年 Petya 和 2017 年 NotPetya 勒索軟體的加密與感染特性。它與前代最大的不同在於，HybridPetya 並非只針對主檔案表（MFT）進行加密，而是能在系統啟動前就進行惡意行為，這使其更難以被偵測與清除。

攻擊流程與運作模式

HybridPetya 的攻擊流程極為縝密，旨在確保其惡意程式碼能在系統最底層執行。一旦在受害者主機上啟動，它會首先判斷該主機是否使用 UEFI 與 GPT 分區。如果條件符合，它便會將惡意程式碼安裝到 EFI 系統分割區，這個分割區通常儲存著啟動系統所需的關鍵檔案。

安裝完成後，HybridPetya 會強制系統重啟。在重啟過程中，它利用其惡意啟動套件劫持正常的啟動程序。此時，受害者會看到一個偽造的 CHKDSK 訊息，用以掩蓋其正在進行的加密行為。在短短幾秒內，HybridPetya 會使用 Salsa20 加密演算法對所有 MFT 叢集進行加密。

加密完成後，系統會再次重啟，並顯示勒索信。這封勒索信要求受害者支付 1,000 美元的比特幣，以換取恢復原始啟動套件並解密檔案的密鑰。這類攻擊的危險性在於，由於它在啟動層級進行加密，繞過了作業系統層面的許多安全防護，使得傳統的防毒軟體難以應對。

結論與資安建議

HybridPetya 的發現是一個重要的警示，它告訴我們，攻擊者正不斷尋找新的漏洞與技術，來突破現有的資安防線。儘管微軟已於 2025 年 1 月修補了 CVE-2024-7344 漏洞，保護了已更新的 Windows 系統，但這類針對 UEFI 和安全啟動的攻擊仍是一個真正的威脅。

面對這類威脅，企業與個人應採取以下防護措施：

1. 保持系統更新：確保作業系統與所有軟體定期更新，特別是安全補丁，以修復已知漏洞。

2. 強化多層次防護：單一的防護措施已不足夠，應部署多層次的安全解決方案，包括端點防護、入侵偵測系統和電子郵件過濾。

3. 備份重要資料：定期將重要資料備份至離線儲存裝置，這是應對勒索軟體攻擊最有效的方法。

4. 提高資安意識：加強員工的資安教育訓練，特別是識別網路釣魚郵件的能力，因為這類攻擊通常是駭客的初始入侵點。

總結來說，HybridPetya 的出現再次證明了資安防護必須與時俱進，不僅要關注作業系統層面的防禦，更要深入到更底層的硬體與韌體安全。唯有如此，才能有效應對不斷進化的網路威脅，確保資料與系統的完整性。