PoorTry/BurntCigar
ទិដ្ឋភាពនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតបានឃើញការវិវត្តន៍របស់ PoorTry ដែលជាកម្មវិធីបញ្ជា Windows របៀបខឺណែល ដែលបានឈានទៅដល់ការបំផ្លិចបំផ្លាញកាន់តែច្រើន។ រចនាឡើងដំបូងដើម្បីបិទដំណោះស្រាយ Endpoint Detection and Response (EDR) ឥឡូវនេះ PoorTry បានក្លាយជា EDR wiper។ ការវិវត្តន៍នេះអនុញ្ញាតឱ្យក្រុមជនខិលខូច ransomware លុបឯកសារសំខាន់ៗសម្រាប់ប្រតិបត្តិការកម្មវិធីសុវត្ថិភាព ធ្វើឱ្យប្រព័ន្ធគ្មានការការពារ និងធ្វើឱ្យការស្ដារឡើងវិញកាន់តែមានការលំបាកច្រើន។
តារាងមាតិកា
ការវិវត្តន៍នៃភាពក្រីក្រ៖ ពីភាពអសកម្មទៅការបំផ្លិចបំផ្លាញ
PoorTry ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះហៅក្រៅរបស់វា "BurntCigar" គឺជាឧបករណ៍ដ៏សំខាន់នៅក្នុងឃ្លាំងអាវុធនៃក្រុម ransomware ចាប់តាំងពីការបង្កើតឡើងក្នុងឆ្នាំ 2021។ ដំបូងឡើយ វាត្រូវបានបង្កើតឡើងដើម្បីបិទ EDR និងវិធានការសុវត្ថិភាពផ្សេងទៀត។ យូរៗទៅ វាត្រូវបានប្រើប្រាស់ដោយក្រុម ransomware ដ៏ល្បីល្បាញ រួមទាំង BlackCat , Cuba និង LockBit ។ ការអភិវឌ្ឍន៍របស់វាឈានដល់ដំណាក់កាលគួរឱ្យកត់សម្គាល់នៅពេលដែលអ្នកបង្កើតរបស់ខ្លួនបានទាញយកប្រយោជន៍ពីដំណើរការចុះហត្ថលេខាលើការបញ្ជាក់របស់ Microsoft ដែលអនុញ្ញាតឱ្យអ្នកបើកបរដែលមានគំនិតអាក្រក់ត្រូវបានចុះហត្ថលេខា និងប្រើប្រាស់ជាមួយនឹងប្រសិទ្ធភាពកាន់តែច្រើន។
ពេញមួយឆ្នាំ 2022 និងឆ្នាំ 2023 PoorTry បានបន្តវិវឌ្ឍ ដោយបង្កើនសមត្ថភាពរបស់ខ្លួនក្នុងការគេចពីការរកឃើញ។ តាមរយៈការបញ្ចូលឧបករណ៍បំភាន់ដូចជាVMProtect , Themida និង ASMGuard វាបានកាន់តែជំនាញក្នុងការលាក់ចេតនាព្យាបាទរបស់ខ្លួន។ ទោះជាយ៉ាងណាក៏ដោយ ការអភិវឌ្ឍន៍ដែលពាក់ព័ន្ធបំផុតបានកើតឡើងនៅក្នុងខែកក្កដា ឆ្នាំ 2024 នៅពេលដែល PoorTry បានផ្លាស់ប្តូរពីគ្រាន់តែបិទប្រព័ន្ធ EDR ដើម្បីលុបវាចោលទាំងស្រុង។
របៀបដែល PoorTry ដំណើរការ
ការធ្វើឡើងវិញចុងក្រោយបង្អស់របស់ PoorTry ចាប់ផ្តើមជាមួយនឹងសមាសភាគរបៀបអ្នកប្រើប្រាស់របស់វា ដែលកំណត់ដោយប្រុងប្រយ័ត្ននូវបញ្ជីដំឡើងកម្មវិធីសុវត្ថិភាព និងកំណត់ឯកសារសំខាន់ៗ។ បន្ទាប់មកព័ត៌មាននេះត្រូវបានបញ្ជូនបន្តទៅសមាសភាគរបៀបខឺណែល ដែលប្រតិបត្តិការវាយប្រហារដោយការបញ្ចប់ដំណើរការសុវត្ថិភាពជាប្រព័ន្ធ និងការលុបឯកសារសំខាន់ៗ។
សមត្ថភាពរបស់ PoorTry ដើម្បីកំណត់គោលដៅឯកសារតាមឈ្មោះ ឬប្រភេទ បន្ថែមស្រទាប់នៃភាពបត់បែននៃប្រតិបត្តិការ ដែលអនុញ្ញាតឱ្យវាគ្របដណ្តប់លើវិសាលគមទូលំទូលាយនៃផលិតផល EDR ។ ភាពជាក់លាក់នេះធានាថាមានតែឯកសារសំខាន់ៗប៉ុណ្ណោះដែលត្រូវបានលុប ដោយកាត់បន្ថយឱកាសនៃការរកឃើញដំបូងខណៈពេលដែលបង្កើនផលប៉ះពាល់នៃការវាយប្រហារក្នុងអំឡុងពេលដំណាក់កាលអ៊ិនគ្រីប។
ផលប៉ះពាល់នៃការវិវត្តន៍របស់ PoorTry
ការផ្លាស់ប្តូរពីការធ្វើឱ្យអសកម្ម EDR ទៅជាការលុបតំណាងឱ្យការកើនឡើងដ៏មានអត្ថន័យនៅក្នុងយុទ្ធសាស្ត្រដែលប្រើដោយតួអង្គ ransomware ។ តាមរយៈការដកសមត្ថភាពក្នុងការសង្គ្រោះ ឬចាប់ផ្តើមប្រព័ន្ធ EDR ឡើងវិញ អ្នកវាយប្រហារអាចបន្តការអ៊ិនគ្រីបដោយគ្មានបញ្ហា ដោយទុកឱ្យប្រព័ន្ធងាយរងគ្រោះ និងគ្មានការការពារ។
ទោះបីជាមានការខិតខំប្រឹងប្រែងរបស់ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតដូចជា Trend Micro និង Sophos ដែលបានតាមដានការវិវត្តរបស់ PoorTry និងបានព្រមានអំពីការកើនឡើងសមត្ថភាពរបស់វាក៏ដោយ អ្នកអភិវឌ្ឍន៍ដែលនៅពីក្រោយឧបករណ៍នេះបានសម្របខ្លួនជាប់លាប់ទៅនឹងវិធានការការពារថ្មី។ ការសម្របខ្លួននេះបញ្ជាក់ពីបញ្ហាប្រឈមដែលកំពុងកើតមានដោយអ្នកជំនាញសន្តិសុខក្នុងការបន្តការគំរាមកំហែងកម្រិតខ្ពស់បែបនេះ។
របៀបលុប PoorTry និងការពារប្រព័ន្ធរបស់អ្នក។
ដោយមើលឃើញពីលក្ខណៈឈ្លានពានរបស់ PoorTry វាចាំបាច់ក្នុងការចាត់វិធានការភ្លាមៗ ប្រសិនបើអ្នកសង្ស័យថាប្រព័ន្ធរបស់អ្នកត្រូវបានសម្របសម្រួល។ នេះជាការណែនាំជាជំហាន ៗ ដើម្បីលុប PoorTry និងការពារប្រព័ន្ធរបស់អ្នក៖
- ដំណើរការការស្កេនប្រព័ន្ធពេញលេញជាមួយនឹងកម្មវិធីប្រឆាំងមេរោគ ៖ ចាប់ផ្តើមដោយប្រើកម្មវិធីប្រឆាំងមេរោគដែលមានកេរ្តិ៍ឈ្មោះ ដើម្បីធ្វើការស្កេនយ៉ាងទូលំទូលាយនៃប្រព័ន្ធរបស់អ្នក។ ត្រូវប្រាកដថាកម្មវិធីមានភាពទាន់សម័យជាមួយនឹងនិយមន័យការគំរាមកំហែងចុងក្រោយបំផុត ដើម្បីរកឃើញ PoorTry ប្រកបដោយប្រសិទ្ធភាព។
- ញែកប្រព័ន្ធឆ្លងមេរោគ ៖ ប្រសិនបើ PoorTry ត្រូវបានរកឃើញ ញែកប្រព័ន្ធមេរោគចេញពីបណ្តាញរបស់អ្នក ដើម្បីការពារការរីករាលដាលបន្ថែមទៀតនៃមេរោគ។
- លុបមេរោគ ៖ អនុវត្តតាមការណែនាំរបស់កម្មវិធីប្រឆាំងមេរោគ ដើម្បីលុប PoorTry ចេញពីប្រព័ន្ធរបស់អ្នក។ វាអាចពាក់ព័ន្ធនឹងការដាក់ឱ្យនៅដាច់ពីគេ ឬលុបឯកសារដែលមានមេរោគ។ សូមប្រាកដថាដានទាំងអស់នៃមេរោគត្រូវបានលុបចោល។
- ស្ដារកម្មវិធីសុវត្ថិភាពរបស់អ្នកឡើងវិញ ៖ បន្ទាប់ពីលុប PoorTry អ្នកប្រហែលជាត្រូវដំឡើងឡើងវិញ ឬស្ដារ EDR របស់អ្នក និងដំណោះស្រាយសុវត្ថិភាពផ្សេងទៀត ដើម្បីធានាថាប្រព័ន្ធរបស់អ្នកត្រូវបានការពារ។ ពិនិត្យពីរដងថាសមាសធាតុសំខាន់ៗទាំងអស់នៃកម្មវិធីសុវត្ថិភាពរបស់អ្នកនៅដដែល និងដំណើរការ។
- ធ្វើបច្ចុប្បន្នភាព និងពង្រឹងប្រព័ន្ធរបស់អ្នក ៖ រក្សាប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីសុវត្ថិភាពរបស់អ្នកឱ្យទាន់សម័យ។ អនុវត្តវិធានការសុវត្ថិភាពបន្ថែម ដូចជាការបែងចែកបណ្តាញ និងការផ្ទៀងផ្ទាត់ពហុកត្តា ដើម្បីកាត់បន្ថយហានិភ័យនៃការវាយប្រហារនាពេលអនាគត។
- ត្រួតពិនិត្យសម្រាប់ការគំរាមកំហែងបន្ថែមទៀត ៖ បន្តតាមដានប្រព័ន្ធរបស់អ្នកសម្រាប់សញ្ញាណាមួយនៃការឆ្លងឡើងវិញ ឬសកម្មភាពគួរឱ្យសង្ស័យផ្សេងទៀត។ រក្សាការប្រុងប្រយ័ត្ន និងសកម្មក្នុងការអនុវត្តបំណះសុវត្ថិភាព និងការអាប់ដេត។
ការវិវត្តន៍របស់ PoorTry ទៅជា wiper EDR បង្ហាញពីកម្រិតថ្មីនៃការឈ្លានពាននៅក្នុងយុទ្ធសាស្ត្រនៃក្រុម ransomware ។ តាមរយៈការយល់ដឹងពីរបៀបដែលមេរោគនេះដំណើរការ និងចាត់វិធានការរហ័សដើម្បីលុបវាចេញ អ្នកអាចការពារប្រព័ន្ធរបស់អ្នកពីការខូចខាតបន្ថែមទៀត។ ប្រើកម្មវិធីប្រឆាំងមេរោគដែលអាចទុកចិត្តបាន ដើម្បីស្វែងរក និងលុបបំបាត់ PoorTry និងធានាថាការការពារសុវត្ថិភាពរបស់អ្នកមានភាពរឹងមាំគ្រប់គ្រាន់ដើម្បីទប់ទល់នឹងការគំរាមកំហែងនាពេលអនាគត។ ឈានមួយជំហានទៅមុខក្នុងការប្រយុទ្ធដែលផ្លាស់ប្តូរជានិច្ចប្រឆាំងនឹងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។
PoorTry/BurntCigar វីដេអូ
គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។