PoorTry/BurntCigar

Cybertrussellandskapet har vært vitne til utviklingen av PoorTry, en Windows-driver i kjernemodus som har tatt en mer destruktiv vending. PoorTry ble opprinnelig designet for å deaktivere Endpoint Detection and Response (EDR)-løsninger, og har nå blitt en EDR-visker. Denne utviklingen tillater løsepengevaregjenger å slette filer som er avgjørende for sikkerhetsprogramvareoperasjoner, noe som gjør systemene forsvarsløse og gjør gjenoppretting langt mer utfordrende.

The Evolution of PoorTry: Fra deaktivering til ødeleggelse

PoorTry, også kjent under sitt alias «BurntCigar», har vært et betydelig verktøy i arsenalet av løsepengevaregrupper siden oppstarten i 2021. Opprinnelig ble det utviklet for å deaktivere EDR og andre sikkerhetstiltak. Over tid har det blitt brukt av beryktede løsepengevaregjenger, inkludert BlackCat , Cuba og LockBit . Utviklingen nådde en bemerkelsesverdig milepæl da skaperne utnyttet Microsofts attesteringssigneringsprosess, slik at de ondsinnede driverne kunne signeres og brukes med større effektivitet.

Gjennom 2022 og 2023 fortsatte PoorTry å utvikle seg, og forbedret evnen til å unndra seg oppdagelse. Ved å inkorporere obfuskeringsverktøy somVMProtect , Themida og ASMGuard, ble den flinkere til å skjule sin ondsinnede hensikt. Den mest bekymringsfulle utviklingen skjedde imidlertid i juli 2024 da PoorTry gikk over fra å bare deaktivere EDR-systemer til å utslette dem helt.

Hvordan PoorTry fungerer

Den siste iterasjonen av PoorTry begynner med brukermoduskomponenten, som omhyggelig identifiserer installasjonskatalogene til sikkerhetsprogramvare og identifiserer kritiske filer. Denne informasjonen videresendes deretter til kjernemoduskomponenten, som utfører angrepet ved systematisk å avslutte sikkerhetsprosesser og slette viktige filer.

PoorTrys evne til å målrette filer etter navn eller type legger til et lag med operasjonell fleksibilitet, slik at den kan dekke et bredt spekter av EDR-produkter. Denne presisjonen sikrer at bare de mest kritiske filene blir slettet, og minimerer sjansene for tidlig oppdagelse samtidig som angrepets innvirkning maksimeres under krypteringsfasen.

Implikasjonene av PoorTry’s Evolution

Skiftet fra EDR-deaktivering til sletting representerer en meningsfull eskalering i taktikken som brukes av løsepengevareaktører. Ved å fjerne muligheten til å gjenopprette eller starte EDR-systemer på nytt, kan angripere fortsette med kryptering uimotsagt, noe som gjør systemene sårbare og forsvarsløse.

Til tross for innsatsen fra cybersikkerhetsfirmaer som Trend Micro og Sophos, som har sporet PoorTrys utvikling og advart om dens økende kapasitet, har utviklerne bak dette verktøyet konsekvent tilpasset seg nye defensive tiltak. Denne tilpasningsevnen understreker den pågående utfordringen sikkerhetseksperter står overfor med å ligge i forkant av slike avanserte trusler.

Slik fjerner du PoorTry og beskytter systemet ditt

Gitt PoorTrys aggressive natur, er det viktig å iverksette tiltak umiddelbart hvis du mistenker at systemet ditt har blitt kompromittert. Her er en trinn-for-trinn-guide for å fjerne PoorTry og beskytte systemet ditt:

  1. Kjør en fullstendig systemskanning med et anti-malware-program : Start med å bruke et anerkjent anti-malware-program for å utføre en omfattende skanning av systemet ditt. Sørg for at applikasjonen er oppdatert med de nyeste trusseldefinisjonene for å oppdage PoorTry effektivt.
  2. Isoler det infiserte systemet : Hvis PoorTry oppdages, isoler det infiserte systemet fra nettverket ditt for å forhindre ytterligere spredning av skadelig programvare.
  3. Fjern skadelig programvare : Følg instruksjonene i anti-malware-programmet for å fjerne PoorTry fra systemet. Dette kan innebære karantene eller sletting av infiserte filer. Sørg for at alle spor etter skadelig programvare er eliminert.
  4. Gjenopprett sikkerhetsprogramvaren din : Etter at du har fjernet PoorTry, må du kanskje installere eller gjenopprette EDR og andre sikkerhetsløsninger for å sikre at systemet er beskyttet. Dobbeltsjekk at alle kritiske komponenter i sikkerhetsprogramvaren er intakte og fungerer.
  5. Oppdater og herd systemet : Hold operativsystemet, applikasjonene og sikkerhetsprogramvaren oppdatert. Bruk ytterligere sikkerhetstiltak, som nettverkssegmentering og multifaktorautentisering, for å redusere risikoen for fremtidige angrep.
  6. Overvåk for ytterligere trusler : Fortsett å overvåke systemet for tegn på reinfeksjon eller annen mistenkelig aktivitet. Vær på vakt og vær proaktiv når det gjelder å ta i bruk sikkerhetsoppdateringer og oppdateringer.

PoorTrys utvikling til en EDR-visker markerer et nytt nivå av aggresjon i taktikken til gjenger med løsepenger. Ved å forstå hvordan denne skadelige programvaren fungerer og iverksette raske tiltak for å fjerne den, kan du beskytte systemet mot ytterligere skade. Bruk et pålitelig anti-malware-program for å oppdage og eliminere PoorTry og sikre at sikkerhetsforsvaret ditt er robust nok til å motstå fremtidige trusler. Hold deg ett skritt foran i den stadig skiftende kampen mot nettkriminalitet.

PoorTry/BurntCigar video

Tips: Slå lyden og se videoen i fullskjermmodus .

Trender

Mest sett

Laster inn...