PoorTry/BurntCigar
لقد شهد مشهد التهديدات السيبرانية تطور PoorTry، وهو برنامج تشغيل يعمل بنظام التشغيل Windows في وضع النواة والذي اتخذ منعطفًا أكثر تدميراً. تم تصميم PoorTry في البداية لتعطيل حلول اكتشاف نقطة النهاية والاستجابة لها (EDR)، ولكنه أصبح الآن أداة لمسح حلول اكتشاف نقطة النهاية والاستجابة لها. يسمح هذا التطور لعصابات برامج الفدية بحذف الملفات المهمة لعمليات برامج الأمان، مما يجعل الأنظمة بلا دفاع ويجعل عملية الاسترداد أكثر صعوبة.
جدول المحتويات
تطور PoorTry: من التعطيل إلى التدمير
PoorTry، المعروف أيضًا باسمه المستعار "BurntCigar"، كان أداة مهمة في ترسانة مجموعات برامج الفدية منذ إنشائه في عام 2021. في البداية، تم تطويره لتعطيل EDR وتدابير الأمان الأخرى. بمرور الوقت، تم استخدامه من قبل عصابات برامج الفدية سيئة السمعة، بما في ذلك BlackCat و Cuba و LockBit . وصل تطويره إلى معلم بارز عندما استغل منشئوه عملية توقيع الشهادة الخاصة بـ Microsoft، مما يسمح بتوقيع برامج التشغيل الضارة واستخدامها بكفاءة أكبر.
طوال عامي 2022 و2023، استمر PoorTry في التطور، مما أدى إلى تعزيز قدرته على التهرب من الاكتشاف. من خلال دمج أدوات التعتيم مثلVMProtect و Themida وASMGuard، أصبح أكثر مهارة في إخفاء نواياه الخبيثة. ومع ذلك، حدث التطور الأكثر إثارة للقلق في يوليو 2024 عندما انتقل PoorTry من مجرد تعطيل أنظمة EDR إلى القضاء عليها بالكامل.
كيف يعمل PoorTry
يبدأ أحدث إصدار من PoorTry بمكون وضع المستخدم، والذي يحدد بدقة أدلة تثبيت برامج الأمان ويحدد الملفات المهمة. ثم يتم نقل هذه المعلومات إلى مكون وضع النواة، والذي ينفذ الهجوم عن طريق إنهاء العمليات الأمنية بشكل منهجي وحذف الملفات الأساسية.
تضيف قدرة PoorTry على استهداف الملفات حسب الاسم أو النوع طبقة من المرونة التشغيلية، مما يمكنها من تغطية مجموعة واسعة من منتجات EDR. تضمن هذه الدقة حذف الملفات الأكثر أهمية فقط، مما يقلل من فرص الاكتشاف المبكر مع تعظيم تأثير الهجوم أثناء مرحلة التشفير.
الآثار المترتبة على تطور PoorTry
يمثل التحول من تعطيل EDR إلى المسح تصعيدًا ذا مغزى في التكتيكات التي يستخدمها مرتكبو برامج الفدية. من خلال إزالة القدرة على استعادة أو إعادة تشغيل أنظمة EDR، يمكن للمهاجمين المضي قدمًا في التشفير دون أي اعتراض، مما يجعل الأنظمة عُرضة للخطر وغير قادرة على الدفاع عن نفسها.
وعلى الرغم من الجهود التي تبذلها شركات الأمن السيبراني مثل Trend Micro وSophos، والتي تتبعت تطور PoorTry وحذرت من قدراته المتزايدة، فقد تكيف المطورون وراء هذه الأداة باستمرار مع التدابير الدفاعية الجديدة. وتؤكد هذه القدرة على التكيف على التحدي المستمر الذي يواجهه المتخصصون في الأمن في البقاء في طليعة مثل هذه التهديدات المتقدمة.
كيفية إزالة PoorTry وحماية نظامك
نظرًا للطبيعة العدوانية لبرنامج PoorTry، فمن الضروري اتخاذ إجراء فوري إذا كنت تشك في تعرض نظامك للاختراق. فيما يلي دليل خطوة بخطوة لإزالة برنامج PoorTry وحماية نظامك:
- قم بإجراء فحص كامل للنظام باستخدام برنامج مكافحة البرامج الضارة : ابدأ باستخدام برنامج مكافحة البرامج الضارة الموثوق به لإجراء فحص شامل لنظامك. تأكد من تحديث التطبيق بأحدث تعريفات التهديدات للكشف عن PoorTry بشكل فعال.
- عزل النظام المصاب : إذا تم اكتشاف PoorTry، فقم بعزل النظام المصاب عن شبكتك لمنع انتشار البرامج الضارة بشكل أكبر.
- إزالة البرامج الضارة : اتبع تعليمات برنامج مكافحة البرامج الضارة لإزالة PoorTry من نظامك. قد يتضمن هذا عزل الملفات المصابة أو حذفها. تأكد من إزالة جميع آثار البرامج الضارة.
- استعادة برنامج الأمان الخاص بك : بعد إزالة PoorTry، قد تحتاج إلى إعادة تثبيت أو استعادة EDR وحلول الأمان الأخرى لضمان حماية نظامك. تأكد مرة أخرى من أن جميع المكونات المهمة لبرنامج الأمان الخاص بك سليمة وتعمل بشكل جيد.
- تحديث وتعزيز نظامك : حافظ على تحديث نظام التشغيل والتطبيقات وبرامج الأمان لديك. قم بتطبيق تدابير أمان إضافية، مثل تقسيم الشبكة والمصادقة متعددة العوامل، لتقليل مخاطر الهجمات المستقبلية.
- مراقبة التهديدات الإضافية : استمر في مراقبة نظامك بحثًا عن أي علامات تشير إلى إعادة الإصابة أو أي نشاط مشبوه آخر. كن يقظًا وكن استباقيًا في تطبيق تصحيحات الأمان والتحديثات.
يمثل تطور PoorTry إلى أداة مسح EDR مستوى جديدًا من العدوانية في تكتيكات عصابات برامج الفدية. من خلال فهم كيفية عمل هذا البرنامج الخبيث واتخاذ إجراءات سريعة لإزالته، يمكنك حماية نظامك من المزيد من الضرر. استخدم برنامجًا موثوقًا لمكافحة البرامج الضارة للكشف عن PoorTry والقضاء عليه والتأكد من أن دفاعاتك الأمنية قوية بما يكفي لتحمل التهديدات المستقبلية. كن متقدمًا بخطوة واحدة في المعركة المتغيرة باستمرار ضد الجرائم الإلكترونية.
PoorTry/BurntCigar فيديو
نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.