PoorTry/BurntCigar
Cybertrussellandskabet har været vidne til udviklingen af PoorTry, en Windows-driver i kernetilstand, der har taget en mere destruktiv drejning. PoorTry, som oprindeligt var designet til at deaktivere Endpoint Detection and Response (EDR)-løsninger, er nu blevet en EDR-visker. Denne udvikling giver ransomware-bander mulighed for at slette filer, der er afgørende for sikkerhedssoftwareoperationer, hvilket gør systemer forsvarsløse og gør gendannelse langt mere udfordrende.
Indholdsfortegnelse
Udviklingen af PoorTry: Fra deaktivering til ødelæggelse
PoorTry, også kendt under sit alias "BurntCigar", har været et væsentligt værktøj i arsenalet af ransomware-grupper siden starten i 2021. Oprindeligt blev det udviklet til at deaktivere EDR og andre sikkerhedsforanstaltninger. Over tid er det blevet brugt af berygtede ransomware-bander, herunder BlackCat , Cuba og LockBit . Dens udvikling nåede en bemærkelsesværdig milepæl, da dens skabere udnyttede Microsofts attesteringssigneringsproces, hvilket tillod de ondsindede drivere at blive signeret og brugt med større effektivitet.
Igennem 2022 og 2023 fortsatte PoorTry med at udvikle sig, hvilket forbedrede dets evne til at undgå opdagelse. Ved at inkorporere obfuskeringsværktøjer somVMProtect , Themida og ASMGuard blev den dygtigere til at skjule sin ondsindede hensigt. Den mest bekymrende udvikling skete dog i juli 2024, da PoorTry gik fra blot at deaktivere EDR-systemer til at udslette dem helt.
Sådan virker PoorTry
Den seneste iteration af PoorTry begynder med dens brugertilstandskomponent, som omhyggeligt identificerer installationsmapper for sikkerhedssoftware og lokaliserer kritiske filer. Disse oplysninger videresendes derefter til kernel-mode-komponenten, som udfører angrebet ved systematisk at afslutte sikkerhedsprocesser og slette væsentlige filer.
PoorTrys evne til at målrette filer efter navn eller type tilføjer et lag af operationel fleksibilitet, hvilket gør det muligt at dække et bredt spektrum af EDR-produkter. Denne præcision sikrer, at kun de mest kritiske filer slettes, hvilket minimerer chancerne for tidlig opdagelse, mens angrebets effekt maksimeres i krypteringsfasen.
Implikationerne af PoorTry’s Evolution
Skiftet fra EDR-deaktivering til sletning repræsenterer en meningsfuld eskalering i taktikken, der anvendes af ransomware-aktører. Ved at fjerne muligheden for at gendanne eller genstarte EDR-systemer, kan angribere fortsætte med kryptering uanfægtet, hvilket efterlader systemerne sårbare og forsvarsløse.
På trods af indsatsen fra cybersikkerhedsfirmaer som Trend Micro og Sophos, som har sporet PoorTrys udvikling og advaret om dets stigende muligheder, har udviklerne bag dette værktøj konsekvent tilpasset sig nye defensive foranstaltninger. Denne tilpasningsevne understreger den vedvarende udfordring, som sikkerhedsprofessionelle står over for med at være på forkant med sådanne avancerede trusler.
Sådan fjerner du PoorTry og beskytter dit system
I betragtning af PoorTrys aggressive karakter er det vigtigt at tage øjeblikkelig handling, hvis du har mistanke om, at dit system er blevet kompromitteret. Her er en trin-for-trin guide til at fjerne PoorTry og beskytte dit system:
- Kør en fuld systemscanning med et anti-malware-program : Start med at bruge et velrenommeret anti-malware-program til at udføre en omfattende scanning af dit system. Sørg for, at applikationen er opdateret med de seneste trusselsdefinitioner for at detektere PoorTry effektivt.
- Isoler det inficerede system : Hvis PoorTry opdages, skal du isolere det inficerede system fra dit netværk for at forhindre yderligere spredning af malwaren.
- Fjern malwaren : Følg anti-malware-programmets instruktioner for at fjerne PoorTry fra dit system. Dette kan involvere karantæne eller sletning af inficerede filer. Sørg for, at alle spor af malware er elimineret.
- Gendan din sikkerhedssoftware : Når du har fjernet PoorTry, skal du muligvis geninstallere eller gendanne din EDR og andre sikkerhedsløsninger for at sikre, at dit system er beskyttet. Dobbelttjek, at alle kritiske komponenter i din sikkerhedssoftware er intakte og fungerer.
- Opdater og hærder dit system : Hold dit operativsystem, applikationer og sikkerhedssoftware opdateret. Anvend yderligere sikkerhedsforanstaltninger, såsom netværkssegmentering og multi-faktor-godkendelse, for at mindske risikoen for fremtidige angreb.
- Overvåg for yderligere trusler : Fortsæt med at overvåge dit system for tegn på geninfektion eller anden mistænkelig aktivitet. Vær på vagt og vær proaktiv med at anvende sikkerhedsrettelser og opdateringer.
PoorTrys udvikling til en EDR-visker markerer et nyt niveau af aggression i ransomware-bandernes taktik. Ved at forstå, hvordan denne malware fungerer og tage hurtige foranstaltninger for at fjerne den, kan du beskytte dit system mod yderligere skade. Brug et pålideligt anti-malware-program til at opdage og eliminere PoorTry og sikre, at dit sikkerhedsforsvar er robust nok til at modstå fremtidige trusler. Vær et skridt foran i den evigt skiftende kamp mod cyberkriminalitet.
PoorTry/BurntCigar Video
Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.