PoorTry/BurntCigar

साइबर खतरे के परिदृश्य में PoorTry का विकास हुआ है, जो कर्नेल-मोड विंडोज ड्राइवर है जिसने और भी विनाशकारी मोड़ ले लिया है। शुरू में एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) समाधानों को अक्षम करने के लिए डिज़ाइन किया गया, PoorTry अब EDR वाइपर बन गया है। यह विकास रैनसमवेयर गिरोहों को सुरक्षा सॉफ़्टवेयर संचालन के लिए महत्वपूर्ण फ़ाइलों को हटाने की अनुमति देता है, जिससे सिस्टम रक्षाहीन हो जाता है और पुनर्प्राप्ति कहीं अधिक चुनौतीपूर्ण हो जाती है।

पुअरट्राई का विकास: निष्क्रियता से विनाश तक

PoorTry, जिसे इसके उपनाम "BurntCigar" के नाम से भी जाना जाता है, 2021 में अपनी शुरुआत के बाद से रैनसमवेयर समूहों के शस्त्रागार में एक महत्वपूर्ण उपकरण रहा है। शुरुआत में, इसे EDR और अन्य सुरक्षा उपायों को अक्षम करने के लिए विकसित किया गया था। समय के साथ, इसका उपयोग कुख्यात रैनसमवेयर गिरोहों द्वारा किया गया है, जिसमें BlackCat , Cuba और LockBit शामिल हैं। इसका विकास एक उल्लेखनीय मील के पत्थर पर पहुंच गया जब इसके रचनाकारों ने Microsoft की सत्यापन हस्ताक्षर प्रक्रिया का फायदा उठाया, जिससे दुर्भावनापूर्ण ड्राइवरों को हस्ताक्षरित किया जा सका और अधिक प्रभावकारिता के साथ उपयोग किया जा सका।

2022 और 2023 के दौरान, PoorTry ने लगातार विकास किया, जिससे पता लगाने से बचने की इसकी क्षमता में वृद्धि हुई।VMProtect , Themida और ASMGuard जैसे अस्पष्टीकरण उपकरणों को शामिल करके, यह अपने दुर्भावनापूर्ण इरादे को छिपाने में अधिक कुशल हो गया। हालाँकि, सबसे चिंताजनक विकास जुलाई 2024 में हुआ जब PoorTry ने EDR सिस्टम को केवल अक्षम करने से लेकर उन्हें पूरी तरह से मिटाने तक का बदलाव किया।

पुअरट्राई कैसे काम करता है

PoorTry का नवीनतम संस्करण इसके उपयोगकर्ता-मोड घटक से शुरू होता है, जो सुरक्षा सॉफ़्टवेयर की इंस्टॉलेशन निर्देशिकाओं की सावधानीपूर्वक पहचान करता है और महत्वपूर्ण फ़ाइलों को इंगित करता है। यह जानकारी फिर कर्नेल-मोड घटक को रिले की जाती है, जो व्यवस्थित रूप से सुरक्षा प्रक्रियाओं को समाप्त करके और आवश्यक फ़ाइलों को हटाकर हमले को अंजाम देता है।

नाम या प्रकार के आधार पर फ़ाइलों को लक्षित करने की PoorTry की क्षमता परिचालन लचीलेपन की एक परत जोड़ती है, जिससे यह EDR उत्पादों के व्यापक स्पेक्ट्रम को कवर करने में सक्षम हो जाता है। यह सटीकता सुनिश्चित करती है कि केवल सबसे महत्वपूर्ण फ़ाइलें ही हटाई जाएँ, जिससे एन्क्रिप्शन चरण के दौरान हमले के प्रभाव को अधिकतम करते हुए, प्रारंभिक पहचान की संभावना कम से कम हो जाती है।

पुअरट्राई के विकास के निहितार्थ

EDR निष्क्रियता से लेकर वाइपिंग तक का बदलाव रैनसमवेयर अभिनेताओं द्वारा अपनाई जाने वाली रणनीतियों में सार्थक वृद्धि को दर्शाता है। EDR सिस्टम को रिकवर या रीस्टार्ट करने की क्षमता को हटाकर, हमलावर बिना किसी चुनौती के एन्क्रिप्शन के साथ आगे बढ़ सकते हैं, जिससे सिस्टम कमज़ोर और रक्षाहीन हो जाता है।

ट्रेंड माइक्रो और सोफोस जैसी साइबर सुरक्षा फर्मों के प्रयासों के बावजूद, जिन्होंने पुअरट्राई के विकास को ट्रैक किया है और इसकी बढ़ती क्षमताओं के बारे में चेतावनी दी है, इस उपकरण के पीछे के डेवलपर्स ने लगातार नए रक्षात्मक उपायों को अपनाया है। यह अनुकूलनशीलता ऐसे उन्नत खतरों से आगे रहने में सुरक्षा पेशेवरों के सामने आने वाली चुनौती को रेखांकित करती है।

PoorTry को कैसे हटाएं और अपने सिस्टम को सुरक्षित रखें

PoorTry की आक्रामक प्रकृति को देखते हुए, यदि आपको संदेह है कि आपके सिस्टम के साथ छेड़छाड़ की गई है, तो तत्काल कार्रवाई करना आवश्यक है। PoorTry को हटाने और अपने सिस्टम को सुरक्षित रखने के लिए यहाँ चरण-दर-चरण मार्गदर्शिका दी गई है:

  1. एंटी-मैलवेयर प्रोग्राम के साथ पूरा सिस्टम स्कैन चलाएँ : अपने सिस्टम का व्यापक स्कैन करने के लिए किसी प्रतिष्ठित एंटी-मैलवेयर प्रोग्राम का उपयोग करके शुरुआत करें। सुनिश्चित करें कि पूअरट्राई का प्रभावी ढंग से पता लगाने के लिए एप्लिकेशन नवीनतम खतरे की परिभाषाओं के साथ अद्यतित है।
  2. संक्रमित सिस्टम को अलग करें : यदि PoorTry का पता चलता है, तो मैलवेयर के आगे प्रसार को रोकने के लिए संक्रमित सिस्टम को अपने नेटवर्क से अलग करें।
  3. मैलवेयर हटाएँ : अपने सिस्टम से PoorTry को हटाने के लिए एंटी-मैलवेयर प्रोग्राम के निर्देशों का पालन करें। इसमें संक्रमित फ़ाइलों को अलग करना या हटाना शामिल हो सकता है। सुनिश्चित करें कि मैलवेयर के सभी निशान मिटा दिए गए हैं।
  4. अपने सुरक्षा सॉफ़्टवेयर को पुनर्स्थापित करें : PoorTry को हटाने के बाद, आपको अपने सिस्टम की सुरक्षा सुनिश्चित करने के लिए अपने EDR और अन्य सुरक्षा समाधानों को पुनः स्थापित या पुनर्स्थापित करने की आवश्यकता हो सकती है। दोबारा जाँच लें कि आपके सुरक्षा सॉफ़्टवेयर के सभी महत्वपूर्ण घटक बरकरार हैं और काम कर रहे हैं।
  5. अपने सिस्टम को अपडेट और मजबूत करें : अपने ऑपरेटिंग सिस्टम, एप्लिकेशन और सुरक्षा सॉफ़्टवेयर को अप-टू-डेट रखें। भविष्य में हमलों के जोखिम को कम करने के लिए नेटवर्क सेगमेंटेशन और मल्टी-फैक्टर ऑथेंटिकेशन जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
  6. आगे के खतरों पर नज़र रखें : अपने सिस्टम पर पुनः संक्रमण या अन्य संदिग्ध गतिविधि के किसी भी संकेत के लिए नज़र रखना जारी रखें। सतर्क रहें और सुरक्षा पैच और अपडेट लागू करने में सक्रिय रहें।

PoorTry का EDR वाइपर में विकास रैनसमवेयर गिरोहों की रणनीति में आक्रामकता के एक नए स्तर को दर्शाता है। यह समझकर कि यह मैलवेयर कैसे काम करता है और इसे हटाने के लिए त्वरित कार्रवाई करके, आप अपने सिस्टम को और अधिक नुकसान से बचा सकते हैं। PoorTry का पता लगाने और उसे खत्म करने के लिए एक विश्वसनीय एंटी-मैलवेयर प्रोग्राम का उपयोग करें और सुनिश्चित करें कि आपकी सुरक्षा रक्षा भविष्य के खतरों का सामना करने के लिए पर्याप्त मजबूत है। साइबर अपराध के खिलाफ लगातार बदलती लड़ाई में एक कदम आगे रहें।

PoorTry/BurntCigar वीडियो

युक्ति: अपनी ध्वनि चालू करें और वीडियो को पूर्ण स्क्रीन मोड में देखें

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...