PoorTry/BurntCigar

Landskap ancaman siber telah menyaksikan evolusi PoorTry, pemacu Windows mod kernel yang telah mengambil giliran yang lebih merosakkan. Direka pada mulanya untuk melumpuhkan penyelesaian Pengesanan dan Respons Titik Akhir (EDR), PoorTry kini telah menjadi pengelap EDR. Evolusi ini membolehkan kumpulan perisian tebusan memadamkan fail yang penting untuk operasi perisian keselamatan, menjadikan sistem tidak berdaya dan menjadikan pemulihan jauh lebih mencabar.

Evolusi PoorTry: Daripada Penyahaktifan kepada Pemusnahan

PoorTry, juga dikenali dengan alias "BurntCigar," telah menjadi alat penting dalam kumpulan perisian tebusan sejak penubuhannya pada 2021. Pada mulanya, ia dibangunkan untuk melumpuhkan EDR dan langkah keselamatan lain. Lama kelamaan, ia telah digunakan oleh kumpulan perisian tebusan yang terkenal, termasuk BlackCat , Cuba dan LockBit . Perkembangannya mencapai kejayaan yang ketara apabila penciptanya mengeksploitasi proses menandatangani pengesahan Microsoft, membolehkan pemacu berniat jahat ditandatangani dan digunakan dengan keberkesanan yang lebih tinggi.

Sepanjang 2022 dan 2023, PoorTry terus berkembang, meningkatkan keupayaannya untuk mengelak pengesanan. Dengan menggabungkan alat pengeliruan sepertiVMProtect , Themida dan ASMGuard, ia menjadi lebih mahir dalam menyembunyikan niat jahatnya. Walau bagaimanapun, perkembangan yang paling membimbangkan berlaku pada Julai 2024 apabila PoorTry beralih daripada hanya melumpuhkan sistem EDR kepada menghapuskannya sepenuhnya.

Bagaimana PoorTry Berfungsi

Lelaran terkini PoorTry bermula dengan komponen mod penggunanya, yang mengenal pasti direktori pemasangan perisian keselamatan dengan teliti dan menentukan fail kritikal. Maklumat ini kemudiannya disampaikan kepada komponen mod kernel, yang melaksanakan serangan dengan menamatkan proses keselamatan secara sistematik dan memadamkan fail penting.

Keupayaan PoorTry untuk menyasarkan fail mengikut nama atau jenis menambahkan lapisan fleksibiliti operasi, membolehkannya meliputi spektrum luas produk EDR. Ketepatan ini memastikan bahawa hanya fail yang paling kritikal dipadamkan, meminimumkan peluang pengesanan awal sambil memaksimumkan kesan serangan semasa fasa penyulitan.

Implikasi Evolusi PoorTry

Peralihan daripada penyahaktifan EDR kepada penghapusan mewakili peningkatan bermakna dalam taktik yang digunakan oleh pelaku perisian tebusan. Dengan mengalih keluar keupayaan untuk memulihkan atau memulakan semula sistem EDR, penyerang boleh meneruskan penyulitan tanpa dicabar, menjadikan sistem terdedah dan tidak berdaya.

Walaupun usaha firma keselamatan siber seperti Trend Micro dan Sophos, yang telah menjejaki evolusi PoorTry dan memberi amaran tentang keupayaannya yang semakin meningkat, pembangun di sebalik alat ini secara konsisten menyesuaikan diri dengan langkah pertahanan baharu. Kesesuaian ini menggariskan cabaran berterusan yang dihadapi oleh profesional keselamatan untuk terus mendahului ancaman lanjutan tersebut.

Cara Alih Keluar PoorTry dan Lindungi Sistem Anda

Memandangkan sifat agresif PoorTry, adalah penting untuk mengambil tindakan segera jika anda mengesyaki sistem anda telah terjejas. Berikut ialah panduan langkah demi langkah untuk mengalih keluar PoorTry dan melindungi sistem anda:

  1. Jalankan Imbasan Sistem Penuh dengan Program Anti-Malware : Mulakan dengan menggunakan program anti-malware yang bereputasi untuk melakukan imbasan komprehensif sistem anda. Pastikan aplikasi dikemas kini dengan definisi ancaman terkini untuk mengesan PoorTry dengan berkesan.
  2. Asingkan Sistem yang Dijangkiti : Jika PoorTry dikesan, asingkan sistem yang dijangkiti daripada rangkaian anda untuk mengelakkan penyebaran perisian hasad selanjutnya.
  3. Alih Keluar Hasad : Ikut arahan program anti-malware untuk mengalih keluar PoorTry daripada sistem anda. Ini mungkin melibatkan kuarantin atau memadam fail yang dijangkiti. Pastikan semua kesan perisian hasad dihapuskan.
  4. Pulihkan Perisian Keselamatan Anda : Selepas mengalih keluar PoorTry, anda mungkin perlu memasang semula atau memulihkan EDR anda dan penyelesaian keselamatan lain untuk memastikan sistem anda dilindungi. Periksa semula bahawa semua komponen penting perisian keselamatan anda adalah utuh dan berfungsi.
  5. Kemas kini dan Keraskan Sistem Anda : Pastikan sistem pengendalian, aplikasi dan perisian keselamatan anda dikemas kini. Gunakan langkah keselamatan tambahan, seperti pembahagian rangkaian dan pengesahan berbilang faktor, untuk mengurangkan risiko serangan masa hadapan.
  6. Pantau Ancaman Selanjutnya : Teruskan memantau sistem anda untuk sebarang tanda jangkitan semula atau aktiviti lain yang mencurigakan. Kekal berwaspada dan proaktif dalam menggunakan tampung keselamatan dan kemas kini.

Evolusi PoorTry menjadi pengelap EDR menandakan tahap pencerobohan baharu dalam taktik kumpulan perisian tebusan. Dengan memahami cara perisian hasad ini beroperasi dan mengambil tindakan pantas untuk mengalih keluarnya, anda boleh melindungi sistem anda daripada kerosakan selanjutnya. Gunakan program anti-perisian hasad yang boleh dipercayai untuk mengesan dan menghapuskan PoorTry dan memastikan bahawa pertahanan keselamatan anda cukup teguh untuk menahan ancaman masa depan. Kekal selangkah ke hadapan dalam pertempuran yang sentiasa berubah-ubah menentang jenayah siber.

Video PoorTry/BurntCigar

Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .

Trending

Paling banyak dilihat

Memuatkan...