PoorTry/BurntCigar
Пейзажът на кибернетичните заплахи стана свидетел на еволюцията на PoorTry, драйвер за Windows в режим на ядро, който взе по-разрушителен обрат. Първоначално проектиран да деактивира решенията за откриване и реагиране на крайни точки (EDR), PoorTry сега се превърна в EDR чистач. Тази еволюция позволява на бандите за рансъмуер да изтриват файлове, които са от решаващо значение за операциите на софтуера за сигурност, като правят системите беззащитни и правят възстановяването много по-предизвикателно.
Съдържание
Еволюцията на PoorTry: от дезактивиране до унищожение
PoorTry, известен също с псевдонима си „BurntCigar“, е важен инструмент в арсенала на групите за рансъмуер от създаването си през 2021 г. Първоначално той беше разработен, за да деактивира EDR и други мерки за сигурност. С течение на времето той е бил използван от известни банди за рансъмуер, включително BlackCat , Cuba и LockBit . Неговото развитие достигна забележителен крайъгълен камък, когато създателите му използваха процеса на подписване на атестация на Microsoft, позволявайки злонамерените драйвери да бъдат подписвани и използвани с по-голяма ефикасност.
През 2022 и 2023 г. PoorTry продължи да се развива, подобрявайки способността си да избягва откриването. Чрез включването на инструменти за обфускация катоVMProtect , Themida и ASMGuard, той стана по-умел в скриването на злонамерените си намерения. Най-тревожното развитие обаче се случи през юли 2024 г., когато PoorTry премина от просто деактивиране на EDR системи към пълното им изтриване.
Как работи PoorTry
Последната итерация на PoorTry започва с неговия компонент за потребителски режим, който щателно идентифицира инсталационните директории на софтуера за сигурност и определя критичните файлове. След това тази информация се предава на компонента в режим на ядрото, който изпълнява атаката чрез систематично прекратяване на процесите на сигурност и изтриване на основни файлове.
Способността на PoorTry да насочва файлове по име или тип добавя ниво на оперативна гъвкавост, което му позволява да покрива широк спектър от EDR продукти. Тази прецизност гарантира, че само най-критичните файлове се изтриват, минимизирайки шансовете за ранно откриване, като същевременно увеличава максимално въздействието на атаката по време на фазата на криптиране.
Последиците от еволюцията на PoorTry
Преминаването от деактивиране на EDR към изтриване представлява значима ескалация в тактиките, използвани от участниците в ransomware. Чрез премахване на възможността за възстановяване или рестартиране на EDR системи, нападателите могат да продължат безпрепятствено криптиране, оставяйки системите уязвими и беззащитни.
Въпреки усилията на фирми за киберсигурност като Trend Micro и Sophos, които проследиха еволюцията на PoorTry и предупредиха за нарастващите му възможности, разработчиците зад този инструмент последователно се адаптираха към нови защитни мерки. Тази адаптивност подчертава продължаващото предизвикателство, пред което са изправени професионалистите по сигурността, за да изпреварят такива напреднали заплахи.
Как да премахнете PoorTry и да защитите системата си
Като се има предвид агресивната природа на PoorTry, важно е да предприемете незабавни действия, ако подозирате, че системата ви е била компрометирана. Ето ръководство стъпка по стъпка за премахване на PoorTry и защита на вашата система:
- Изпълнете пълно сканиране на системата с програма против злонамерен софтуер : Започнете с използване на реномирана програма против злонамерен софтуер, за да извършите цялостно сканиране на вашата система. Уверете се, че приложението е актуално с най-новите дефиниции на заплахи, за да откриете PoorTry ефективно.
- Изолирайте заразената система : Ако бъде открит PoorTry, изолирайте заразената система от вашата мрежа, за да предотвратите по-нататъшното разпространение на зловреден софтуер.
- Премахнете злонамерения софтуер : Следвайте инструкциите на програмата против злонамерен софтуер, за да премахнете PoorTry от вашата система. Това може да включва поставяне под карантина или изтриване на заразени файлове. Уверете се, че всички следи от зловреден софтуер са премахнати.
- Възстановете вашия софтуер за сигурност : След премахване на PoorTry може да се наложи да инсталирате отново или възстановите вашия EDR и други решения за сигурност, за да сте сигурни, че вашата система е защитена. Проверете отново дали всички критични компоненти на вашия софтуер за сигурност са непокътнати и функционират.
- Актуализирайте и втвърдете вашата система : Поддържайте вашата операционна система, приложения и софтуер за сигурност актуални. Приложете допълнителни мерки за сигурност, като мрежово сегментиране и многофакторно удостоверяване, за да намалите риска от бъдещи атаки.
- Наблюдавайте за допълнителни заплахи : Продължете да наблюдавате системата си за всякакви признаци на повторно заразяване или друга подозрителна дейност. Бъдете бдителни и бъдете проактивни при прилагането на корекции за сигурност и актуализации.
Еволюцията на PoorTry в чистач на EDR бележи ново ниво на агресия в тактиката на бандите за рансъмуер. Като разберете как работи този зловреден софтуер и предприемете бързи действия за премахването му, можете да защитите системата си от по-нататъшни щети. Използвайте надеждна програма против злонамерен софтуер, за да откриете и елиминирате PoorTry и да се уверите, че вашите защити за сигурност са достатъчно стабилни, за да устоят на бъдещи заплахи. Бъдете една крачка напред в непрекъснато променящата се битка срещу киберпрестъпността.
PoorTry/BurntCigar видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.