PoorTry/BurntCigar

נוף איומי הסייבר היה עד להתפתחות של PoorTry, מנהל התקן של Windows במצב ליבה שקיבל תפנית הרסנית יותר. PoorTry תוכנן מלכתחילה להשבית פתרונות זיהוי ותגובה של נקודות קצה (EDR), והפך כעת למגב EDR. אבולוציה זו מאפשרת לכנופיות תוכנות כופר למחוק קבצים חיוניים לפעולות תוכנת אבטחה, להפוך את המערכות לחסרות הגנה ולהפוך את השחזור להרבה יותר מאתגר.

האבולוציה של PoorTry: מנטרול להרס

PoorTry, הידועה גם בכינויה "BurntCigar", הייתה כלי משמעותי בארסנל של קבוצות תוכנות כופר מאז הקמתה בשנת 2021. בתחילה, היא פותחה כדי להשבית את EDR ואמצעי אבטחה אחרים. במשך הזמן, הוא נוצל על ידי כנופיות תוכנות כופר ידועות לשמצה, כולל BlackCat , קובה ו- LockBit . הפיתוח שלה הגיע לאבן דרך בולטת כאשר יוצריה ניצלו את תהליך החתימה על אישורים של מיקרוסופט, ואפשרו לחתום ולהשתמש במנהלי התקנים הזדוניים ביעילות רבה יותר.

לאורך 2022 ו-2023, PoorTry המשיכה להתפתח, והגבירה את יכולתה להתחמק מגילוי. על ידי שילוב כלי ערפול כמוVMProtect , Themida ו-ASMGuard, הוא הפך להיות מיומן יותר בהסתרת כוונת הזדון שלו. עם זאת, הפיתוח המדאיג ביותר התרחש ביולי 2024 כאשר PoorTry עברה מלהשבית מערכות EDR בלבד למחיקתן לחלוטין.

איך PoorTry עובד

האיטרציה האחרונה של PoorTry מתחילה ברכיב מצב המשתמש שלו, המזהה בקפידה את ספריות ההתקנה של תוכנות אבטחה ומזהה קבצים קריטיים. מידע זה מועבר לאחר מכן לרכיב מצב הקרנל, אשר מבצע את המתקפה על ידי סיום שיטתי של תהליכי אבטחה ומחיקת קבצים חיוניים.

היכולת של PoorTry למקד קבצים לפי שם או סוג מוסיפה שכבה של גמישות תפעולית, ומאפשרת לה לכסות קשת רחבה של מוצרי EDR. דיוק זה מבטיח שרק הקבצים הקריטיים ביותר יימחקו, וממזער את הסיכויים לגילוי מוקדם תוך מקסום השפעת המתקפה בשלב ההצפנה.

ההשלכות של האבולוציה של PoorTry

המעבר מנטרול EDR לניגוב מייצג הסלמה משמעותית בטקטיקות שננקטות על ידי שחקני תוכנת כופר. על ידי הסרת היכולת לשחזר או להפעיל מחדש מערכות EDR, התוקפים יכולים להמשיך עם הצפנה ללא עוררין, ולהשאיר את המערכות פגיעות וחסרות הגנה.

למרות המאמצים של חברות אבטחת סייבר כמו Trend Micro ו-Sophos, שעקבו אחר ההתפתחות של PoorTry והזהירו מפני היכולות המתגברות שלה, המפתחים מאחורי הכלי הזה הסתגלו בעקביות לאמצעי הגנה חדשים. יכולת הסתגלות זו מדגישה את האתגר המתמשך העומד בפני אנשי מקצוע בתחום האבטחה בהישארות לפני איומים מתקדמים שכאלה.

כיצד להסיר את PoorTry ולהגן על המערכת שלך

בהתחשב באופי האגרסיבי של PoorTry, חיוני לנקוט פעולה מיידית אם אתה חושד שהמערכת שלך נפגעה. להלן מדריך שלב אחר שלב להסרת PoorTry ושמירה על המערכת שלך:

  1. הפעל סריקת מערכת מלאה עם תוכנית נגד תוכנות זדוניות : התחל על ידי שימוש בתוכנה אנטי-זדונית מוכרת כדי לבצע סריקה מקיפה של המערכת שלך. ודא שהאפליקציה מעודכנת בהגדרות האיומים העדכניות ביותר כדי לזהות את PoorTry ביעילות.
  2. בידוד את המערכת הנגועה : אם זוהה PoorTry, בודד את המערכת הנגועה מהרשת שלך כדי למנוע התפשטות נוספת של התוכנה הזדונית.
  3. הסר את התוכנה הזדונית : עקוב אחר ההוראות של התוכנית נגד תוכנות זדוניות כדי להסיר את PoorTry מהמערכת שלך. זה עשוי להיות כרוך בהסגר או מחיקת קבצים נגועים. ודא שכל העקבות של התוכנה הזדונית בוטלו.
  4. שחזר את תוכנת האבטחה שלך : לאחר הסרת PoorTry, ייתכן שיהיה עליך להתקין מחדש או לשחזר את ה-EDR שלך ופתרונות אבטחה אחרים כדי להבטיח שהמערכת שלך מוגנת. בדוק שוב שכל הרכיבים הקריטיים של תוכנת האבטחה שלך שלמים ומתפקדים.
  5. עדכן והקשיח את המערכת שלך : שמור את מערכת ההפעלה, היישומים ותוכנות האבטחה שלך מעודכנים. החל אמצעי אבטחה נוספים, כגון פילוח רשת ואימות רב-גורמי, כדי להפחית את הסיכון להתקפות עתידיות.
  6. עקוב אחר איומים נוספים : המשך לעקוב אחר המערכת שלך עבור כל סימן של זיהום חוזר או פעילות חשודה אחרת. הישאר ערני והיה פרואקטיבי בהחלת תיקוני אבטחה ועדכוני אבטחה.

ההתפתחות של PoorTry למגבת EDR מסמנת רמה חדשה של תוקפנות בטקטיקות של כנופיות תוכנות כופר. על ידי הבנת אופן הפעולה של תוכנת זדונית זו ונקיטת פעולה מהירה להסרה, תוכל להגן על המערכת שלך מפני נזק נוסף. השתמש בתוכנה אמינה נגד תוכנות זדוניות כדי לזהות ולחסל את PoorTry ולהבטיח שהגנת האבטחה שלך חזקה מספיק כדי לעמוד בפני איומים עתידיים. הישאר צעד אחד קדימה בקרב המשתנה ללא הרף נגד פשעי סייבר.

PoorTry/BurntCigar וידאו

טיפ: הפעל הקול שלך ON ולצפות בסרטון במצב של מסך מלא.

מגמות

הכי נצפה

טוען...