PoorTry/BurntCigar

چشم انداز تهدیدات سایبری شاهد تکامل PoorTry، یک درایور ویندوز با حالت هسته بوده است که چرخش مخرب تری به خود گرفته است. PoorTry در ابتدا برای غیرفعال کردن راه حل های تشخیص و پاسخ نقطه پایانی (EDR) طراحی شده بود، اکنون به یک برف پاک کن EDR تبدیل شده است. این تکامل به گروه‌های باج‌افزار اجازه می‌دهد فایل‌های حیاتی برای عملیات نرم‌افزار امنیتی را حذف کنند، سیستم‌ها را بی‌دفاع کرده و بازیابی را بسیار چالش‌برانگیزتر کند.

تکامل PoorTry: از غیرفعال کردن تا نابودی

PoorTry که با نام مستعار خود "BurntCigar" نیز شناخته می شود، از زمان آغاز به کار خود در سال 2021، ابزار مهمی در زرادخانه گروه های باج افزار بوده است. در ابتدا، برای غیرفعال کردن EDR و سایر اقدامات امنیتی توسعه داده شد. با گذشت زمان، باج افزارهای بدنام از جمله BlackCat ، Cuba و LockBit از آن استفاده کردند. توسعه آن زمانی به نقطه عطف قابل توجهی رسید که سازندگان آن از فرآیند امضای گواهی مایکروسافت سوء استفاده کردند و اجازه دادند درایورهای مخرب امضا شوند و با کارایی بیشتری مورد استفاده قرار گیرند.

در طول سال‌های 2022 و 2023، PoorTry به تکامل خود ادامه داد و توانایی خود را برای فرار از تشخیص افزایش داد. با استفاده از ابزارهای مبهم سازی مانندVMProtect ، Themida و ASMGuard، در پنهان کردن اهداف مخرب خود مهارت بیشتری پیدا کرد. با این حال، نگران‌کننده‌ترین توسعه در ژوئیه 2024 رخ داد، زمانی که PoorTry از صرفاً غیرفعال کردن سیستم‌های EDR به حذف کامل آن‌ها روی آورد.

PoorTry چگونه کار می کند

آخرین نسخه از PoorTry با مؤلفه حالت کاربر شروع می شود، که با دقت فهرست های نصب نرم افزار امنیتی را شناسایی می کند و فایل های مهم را مشخص می کند. سپس این اطلاعات به مؤلفه kernel-mode منتقل می‌شود، که با خاتمه سیستماتیک فرآیندهای امنیتی و حذف فایل‌های ضروری، حمله را اجرا می‌کند.

توانایی PoorTry برای هدف‌گیری فایل‌ها بر اساس نام یا نوع، لایه‌ای از انعطاف‌پذیری عملیاتی را اضافه می‌کند و آن را قادر می‌سازد تا طیف وسیعی از محصولات EDR را پوشش دهد. این دقت تضمین می‌کند که فقط حیاتی‌ترین فایل‌ها حذف می‌شوند و شانس تشخیص زودهنگام را به حداقل می‌رساند و در عین حال تأثیر حمله را در مرحله رمزگذاری به حداکثر می‌رساند.

پیامدهای تکامل PoorTry

تغییر از غیرفعال کردن EDR به پاک کردن، تشدید معنی‌داری را در تاکتیک‌های به کار گرفته شده توسط بازیگران باج‌افزار نشان می‌دهد. با حذف توانایی بازیابی یا راه‌اندازی مجدد سیستم‌های EDR، مهاجمان می‌توانند رمزگذاری را بدون چالش انجام دهند و سیستم‌ها را آسیب‌پذیر و بی‌دفاع کنند.

علی‌رغم تلاش‌های شرکت‌های امنیت سایبری مانند Trend Micro و Sophos که تکامل PoorTry را دنبال کرده و در مورد قابلیت‌های فزاینده آن هشدار داده‌اند، توسعه‌دهندگان پشت این ابزار به طور مداوم با اقدامات دفاعی جدید سازگار شده‌اند. این سازگاری بر چالش مستمری که متخصصان امنیتی با آن مواجه هستند تا در برابر چنین تهدیدهای پیشرفته ای با آن مواجه شوند، تاکید می کند.

چگونه PoorTry را حذف کرده و از سیستم خود محافظت کنید

با توجه به ماهیت تهاجمی PoorTry، اگر مشکوک هستید که سیستم شما به خطر افتاده است، ضروری است که فوراً اقدام کنید. در اینجا یک راهنمای گام به گام برای حذف PoorTry و محافظت از سیستم شما آورده شده است:

  1. اجرای یک اسکن کامل سیستم با یک برنامه ضد بدافزار : با استفاده از یک برنامه ضد بدافزار معتبر برای انجام یک اسکن جامع از سیستم خود شروع کنید. اطمینان حاصل کنید که برنامه با آخرین تعاریف تهدید به روز است تا PoorTry را به طور موثر شناسایی کند.
  2. سیستم آلوده را ایزوله کنید : اگر PoorTry شناسایی شد، سیستم آلوده را از شبکه خود جدا کنید تا از گسترش بیشتر بدافزار جلوگیری کنید.
  3. حذف بدافزار : دستورالعمل های برنامه ضد بدافزار را دنبال کنید تا PoorTry را از سیستم خود حذف کنید. این ممکن است شامل قرنطینه یا حذف فایل های آلوده باشد. اطمینان حاصل کنید که تمام آثار بدافزار از بین رفته است.
  4. نرم افزار امنیتی خود را بازیابی کنید : پس از حذف PoorTry، ممکن است لازم باشد EDR و سایر راه حل های امنیتی خود را دوباره نصب یا بازیابی کنید تا از محافظت از سیستم خود اطمینان حاصل کنید. دوبار بررسی کنید که همه اجزای حیاتی نرم افزار امنیتی شما دست نخورده و کار کنند.
  5. سیستم خود را به روز کنید و سخت کنید : سیستم عامل، برنامه ها و نرم افزارهای امنیتی خود را به روز نگه دارید. اقدامات امنیتی اضافی مانند تقسیم بندی شبکه و احراز هویت چند عاملی را برای کاهش خطر حملات آینده اعمال کنید.
  6. نظارت بر تهدیدهای بیشتر : به نظارت بر سیستم خود برای هرگونه علائم عفونت مجدد یا سایر فعالیت های مشکوک ادامه دهید. مراقب باشید و در اعمال وصله‌های امنیتی و به‌روزرسانی‌ها فعال باشید.

تکامل PoorTry به پاک‌کن EDR سطح جدیدی از تهاجمی را در تاکتیک‌های گروه‌های باج‌افزار نشان می‌دهد. با درک نحوه عملکرد این بدافزار و اقدام سریع برای حذف آن، می توانید سیستم خود را از آسیب بیشتر محافظت کنید. از یک برنامه ضد بدافزار قابل اعتماد برای شناسایی و از بین بردن PoorTry استفاده کنید و اطمینان حاصل کنید که دفاع امنیتی شما به اندازه کافی قوی است تا در برابر تهدیدات آینده مقاومت کند. در نبرد همیشه در حال تغییر علیه جرایم سایبری یک قدم جلوتر بمانید.

PoorTry/BurntCigar ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .

پرطرفدار

پربیننده ترین

بارگذاری...