PoorTry/BurntCigar
Kiberdraudu ainava ir bijusi lieciniece PoorTry, kodola režīma Windows draivera attīstībai, kas ir uzņēmis postošākus pagriezienus. Sākotnēji izstrādātais, lai atspējotu galapunktu noteikšanas un atbildes (EDR) risinājumus, PoorTry tagad ir kļuvis par EDR tīrītāju. Šī evolūcija ļauj izspiedējvīrusu grupām izdzēst failus, kas ir būtiski drošības programmatūras darbībai, padarot sistēmas neaizsargātas un padarot atkopšanu daudz grūtāku.
Satura rādītājs
PoorTry evolūcija: no deaktivizēšanas līdz iznīcināšanai
PoorTry, kas pazīstams arī ar aizstājvārdu "BurntCigar", ir bijis nozīmīgs rīks izspiedējvīrusu grupu arsenālā kopš tā izveidošanas 2021. gadā. Sākotnēji tas tika izstrādāts, lai atspējotu EDR un citus drošības pasākumus. Laika gaitā to ir izmantojušas bēdīgi slavenās izspiedējvīrusu grupas, tostarp BlackCat , Cuba un LockBit . Tā izstrāde sasniedza ievērojamu pavērsienu, kad tā veidotāji izmantoja Microsoft atestācijas parakstīšanas procesu, ļaujot ļaunprātīgos draiverus parakstīt un izmantot efektīvāk.
2022. un 2023. gadā PoorTry turpināja attīstīties, uzlabojot tā spēju izvairīties no atklāšanas. Iekļaujot tādus apmulsināšanas rīkus kāVMProtect , Themida un ASMGuard, tas kļuva prasmīgāks, lai slēptu savus ļaunprātīgos nodomus. Tomēr visvairāk satraucošā attīstība notika 2024. gada jūlijā, kad PoorTry pārgāja no vienkāršas EDR sistēmu atspējošanas uz to pilnīgu izslēgšanu.
Kā darbojas PoorTry
Jaunākā PoorTry iterācija sākas ar tā lietotāja režīma komponentu, kas rūpīgi identificē drošības programmatūras instalēšanas direktorijus un precīzi nosaka kritiskos failus. Pēc tam šī informācija tiek pārraidīta uz kodola režīma komponentu, kas veic uzbrukumu, sistemātiski pārtraucot drošības procesus un dzēšot būtiskos failus.
PoorTry spēja atlasīt failus pēc nosaukuma vai veida palielina darbības elastību, ļaujot tai aptvert plašu EDR produktu spektru. Šī precizitāte nodrošina, ka tiek izdzēsti tikai vissvarīgākie faili, samazinot agrīnas atklāšanas iespējas, vienlaikus palielinot uzbrukuma ietekmi šifrēšanas fāzē.
PoorTry evolūcijas sekas
Pāreja no EDR deaktivizēšanas uz dzēšanu ir nozīmīga izspiedējvīrusu dalībnieku taktikas eskalācija. Noņemot iespēju atgūt vai restartēt EDR sistēmas, uzbrucēji var turpināt šifrēšanu bez problēmām, atstājot sistēmas neaizsargātas un neaizsargātas.
Neskatoties uz kiberdrošības firmu, piemēram, Trend Micro un Sophos, centieniem, kas ir izsekojuši PoorTry attīstībai un brīdinājuši par tā pieaugošajām iespējām, šī rīka izstrādātāji ir konsekventi pielāgojušies jauniem aizsardzības pasākumiem. Šī pielāgošanās spēja uzsver pastāvīgo izaicinājumu, ar ko saskaras drošības profesionāļi, lai izvairītos no šādiem progresīviem draudiem.
Kā noņemt PoorTry un aizsargāt savu sistēmu
Ņemot vērā PoorTry agresīvo raksturu, ir svarīgi nekavējoties rīkoties, ja jums ir aizdomas, ka jūsu sistēma ir apdraudēta. Tālāk ir sniegts detalizēts ceļvedis PoorTry noņemšanai un sistēmas aizsardzībai.
- Veiciet pilnu sistēmas skenēšanu, izmantojot ļaunprātīgas programmatūras novēršanas programmu : sāciet, izmantojot cienījamu ļaunprātīgas programmatūras novēršanas programmu, lai veiktu visaptverošu sistēmas skenēšanu. Lai efektīvi noteiktu PoorTry, lietojumprogrammai ir jābūt atjauninātai ar jaunākajām draudu definīcijām.
- Izolējiet inficēto sistēmu : ja tiek atklāts PoorTry, izolējiet inficēto sistēmu no tīkla, lai novērstu ļaunprātīgas programmatūras tālāku izplatīšanos.
- Ļaunprātīgās programmatūras noņemšana : izpildiet pretļaunatūras programmas norādījumus, lai no sistēmas noņemtu PoorTry. Tas var ietvert inficēto failu ievietošanu karantīnā vai dzēšanu. Pārliecinieties, ka visas ļaunprātīgās programmatūras pēdas ir novērstas.
- Atjaunojiet savu drošības programmatūru : pēc PoorTry noņemšanas, iespējams, būs atkārtoti jāinstalē vai jāatjauno EDR un citi drošības risinājumi, lai nodrošinātu sistēmas aizsardzību. Vēlreiz pārbaudiet, vai visas jūsu drošības programmatūras kritiskās sastāvdaļas ir neskartas un darbojas.
- Sistēmas atjaunināšana un nostiprināšana : atjauniniet operētājsistēmu, lietojumprogrammas un drošības programmatūru. Izmantojiet papildu drošības pasākumus, piemēram, tīkla segmentāciju un vairāku faktoru autentifikāciju, lai samazinātu turpmāko uzbrukumu risku.
- Pārraugiet citus draudus : turpiniet uzraudzīt savu sistēmu, lai atklātu jebkādas atkārtotas inficēšanās pazīmes vai citas aizdomīgas darbības. Esiet modrs un esiet aktīvs, piemērojot drošības ielāpus un atjauninājumus.
PoorTry evolūcija par EDR tīrītāju iezīmē jaunu agresijas līmeni ransomware bandu taktikā. Izprotot, kā šī ļaunprogrammatūra darbojas, un ātri rīkojoties, lai to noņemtu, varat aizsargāt savu sistēmu no turpmākiem bojājumiem. Izmantojiet uzticamu ļaunprātīgas programmatūras apkarošanas programmu, lai atklātu un novērstu PoorTry un nodrošinātu, ka jūsu drošības aizsardzība ir pietiekami spēcīga, lai izturētu nākotnes draudus. Esiet soli priekšā nemitīgi mainīgajā cīņā pret kibernoziedzību.
PoorTry/BurntCigar video
Padoms. Ieslēdziet skaņu un skatieties video pilnekrāna režīmā .