PoorTry/BurntCigar
साइबर खतरा परिदृश्यले PoorTry को विकास देखेको छ, कर्नेल-मोड विन्डोज ड्राइभर जसले अझ विनाशकारी मोड लिएको छ। सुरुमा Endpoint Detection and Response (EDR) समाधानहरू असक्षम पार्न डिजाइन गरिएको, PoorTry अब EDR वाइपर भएको छ। यो विकासले ransomware गिरोहहरूलाई सुरक्षा सफ्टवेयर सञ्चालनका लागि महत्त्वपूर्ण फाइलहरू मेटाउन, प्रणालीहरूलाई रक्षाहीन बनाउन र रिकभरीलाई अझ चुनौतीपूर्ण बनाउन अनुमति दिन्छ।
सामग्रीको तालिका
गरीब प्रयासको विकास: निष्क्रियता देखि विनाश सम्म
PoorTry, यसको उपनाम "BurntCigar" द्वारा पनि चिनिन्छ, 2021 मा यसको स्थापना भएदेखि नै ransomware समूहहरूको शस्त्रागारमा महत्त्वपूर्ण उपकरण भएको छ। प्रारम्भमा, यसलाई EDR र अन्य सुरक्षा उपायहरूलाई असक्षम पार्न विकसित गरिएको थियो। समयको साथ, यो ब्ल्याकक्याट , क्युबा र लकबिट सहित कुख्यात ransomware गिरोहहरू द्वारा प्रयोग गरिएको छ। यसको विकास उल्लेखनीय माइलस्टोनमा पुग्यो जब यसको सिर्जनाकर्ताहरूले माइक्रोसफ्टको प्रमाणीकरण हस्ताक्षर प्रक्रियाको शोषण गरे, जसले खराब चालकहरूलाई हस्ताक्षर गर्न र अधिक प्रभावकारिताका साथ प्रयोग गर्न अनुमति दियो।
2022 र 2023 भरि, PoorTry ले विकास गर्न जारी राख्यो, पत्ता लगाउनबाट बच्ने क्षमता बढाउँदै।VMProtect , Themida र ASMGuard जस्ता अस्पष्ट उपकरणहरू समावेश गरेर, यो आफ्नो दुर्भावनापूर्ण उद्देश्य लुकाउन अझ माहिर भयो। यद्यपि, सबैभन्दा सम्बन्धित विकास जुलाई 2024 मा भएको थियो जब PoorTry ले EDR प्रणालीहरूलाई पूर्ण रूपमा मेटाउनको लागि मात्र असक्षम पार्दै ट्रान्जिसन गर्यो।
कसरी PoorTry काम गर्दछ
PoorTry को पछिल्लो पुनरावृत्ति यसको प्रयोगकर्ता-मोड कम्पोनेन्टबाट सुरु हुन्छ, जसले सुरक्षा सफ्टवेयरको स्थापना डाइरेक्टरीहरूलाई सावधानीपूर्वक पहिचान गर्दछ र महत्वपूर्ण फाइलहरूलाई पिनपोइन्ट गर्दछ। यो जानकारी त्यसपछि कर्नेल-मोड कम्पोनेन्टमा रिले गरिन्छ, जसले सुरक्षा प्रक्रियाहरू व्यवस्थित रूपमा समाप्त गरेर र आवश्यक फाइलहरू मेटाएर आक्रमणलाई कार्यान्वयन गर्दछ।
नाम वा प्रकारद्वारा फाइलहरूलाई लक्षित गर्ने PoorTry को क्षमताले EDR उत्पादनहरूको फराकिलो स्पेक्ट्रम कभर गर्न सक्षम पार्दै परिचालन लचिलोपनको तह थप्छ। यो परिशुद्धताले एन्क्रिप्शन चरणको समयमा आक्रमणको प्रभावलाई अधिकतम पार्दै प्रारम्भिक पत्ता लगाउने सम्भावनालाई कम गर्दै, केवल सबैभन्दा महत्त्वपूर्ण फाइलहरू मेटाइन्छ भन्ने सुनिश्चित गर्दछ।
PoorTry को विकास को प्रभाव
EDR डिएक्टिभेसनबाट वाइपमा परिवर्तनले ransomware अभिनेताहरूले प्रयोग गर्ने रणनीतिहरूमा अर्थपूर्ण वृद्धिलाई प्रतिनिधित्व गर्दछ। EDR प्रणालीहरू रिकभर गर्न वा पुन: सुरु गर्ने क्षमता हटाएर, आक्रमणकारीहरूले इन्क्रिप्शनलाई चुनौती नदिई अगाडि बढ्न सक्छन्, प्रणालीहरूलाई कमजोर र सुरक्षाविहीन छोडेर।
Trend Micro र Sophos जस्ता साइबरसुरक्षा फर्महरूको प्रयासको बावजुद, जसले PoorTry को विकासलाई ट्र्याक गरेको छ र यसको बढ्दो क्षमताहरूको बारेमा चेतावनी दिएको छ, यस उपकरणको पछाडि विकासकर्ताहरूले लगातार नयाँ रक्षात्मक उपायहरूमा अनुकूलन गरेका छन्। यो अनुकूलनताले यस्ता उन्नत खतराहरूबाट अगाडि रहन सुरक्षा पेशेवरहरूले सामना गरिरहेको निरन्तर चुनौतीलाई जोड दिन्छ।
PoorTry कसरी हटाउने र तपाईंको प्रणालीलाई सुरक्षित गर्ने
PoorTry को आक्रामक प्रकृतिलाई ध्यानमा राख्दै, यदि तपाइँलाई तपाइँको प्रणालीमा सम्झौता गरिएको छ भन्ने शंका लाग्छ भने तुरुन्त कारबाही गर्न आवश्यक छ। यहाँ PoorTry हटाउन र तपाईंको प्रणालीको सुरक्षा गर्न चरण-दर-चरण गाइड छ:
- एन्टी-मालवेयर प्रोग्रामको साथ पूर्ण प्रणाली स्क्यान चलाउनुहोस् : तपाईंको प्रणालीको व्यापक स्क्यान गर्नको लागि सम्मानित एन्टि-मालवेयर प्रोग्राम प्रयोग गरेर सुरु गर्नुहोस्। PoorTry प्रभावकारी रूपमा पत्ता लगाउनको लागि नवीनतम खतरा परिभाषाहरूसँग एप अप-टु-डेट छ भनी सुनिश्चित गर्नुहोस्।
- संक्रमित प्रणालीलाई अलग गर्नुहोस् : यदि PoorTry पत्ता लाग्यो भने, मालवेयरको थप फैलावट रोक्नको लागि आफ्नो नेटवर्कबाट संक्रमित प्रणालीलाई अलग गर्नुहोस्।
- मालवेयर हटाउनुहोस् : तपाईंको प्रणालीबाट PoorTry हटाउन एन्टि-मालवेयर प्रोग्रामको निर्देशनहरू पालना गर्नुहोस्। यसले संक्रमित फाइलहरूलाई क्वारेन्टाइन वा मेटाउन समावेश गर्न सक्छ। सुनिश्चित गर्नुहोस् कि मालवेयरका सबै ट्रेसहरू हटाइएका छन्।
- तपाईंको सुरक्षा सफ्टवेयर पुनर्स्थापित गर्नुहोस् : PoorTry हटाएपछि, तपाईंले आफ्नो प्रणाली सुरक्षित छ भनी सुनिश्चित गर्न आफ्नो EDR र अन्य सुरक्षा समाधानहरू पुन: स्थापना वा पुनर्स्थापना गर्न आवश्यक पर्दछ। तपाईंको सुरक्षा सफ्टवेयरका सबै महत्वपूर्ण कम्पोनेन्टहरू अक्षुण्ण र कार्यशील छन् भनी दोहोरो-जाँच गर्नुहोस्।
- तपाइँको प्रणालीलाई अपडेट र कडा बनाउनुहोस् : तपाइँको अपरेटिङ सिस्टम, अनुप्रयोगहरू, र सुरक्षा सफ्टवेयर अप-टु-डेट राख्नुहोस्। थप सुरक्षा उपायहरू लागू गर्नुहोस्, जस्तै नेटवर्क विभाजन र बहु-कारक प्रमाणीकरण, भविष्यका आक्रमणहरूको जोखिम कम गर्न।
- थप धम्कीहरूको लागि मनिटर : पुन: संक्रमण वा अन्य संदिग्ध गतिविधिको कुनै पनि संकेतहरूको लागि तपाइँको प्रणालीलाई निगरानी गर्न जारी राख्नुहोस्। सतर्क रहनुहोस् र सुरक्षा प्याचहरू र अद्यावधिकहरू लागू गर्न सक्रिय हुनुहोस्।
EDR वाइपरमा PoorTry को विकासले ransomware गिरोहहरूको रणनीतिमा आक्रामकताको नयाँ स्तरलाई चिन्ह लगाउँछ। यो मालवेयरले कसरी काम गर्छ भनेर बुझेर र यसलाई हटाउन द्रुत कारबाही गरेर, तपाईंले आफ्नो प्रणालीलाई थप क्षतिबाट जोगाउन सक्नुहुन्छ। PoorTry पत्ता लगाउन र हटाउन भरपर्दो एन्टी-मालवेयर प्रोग्राम प्रयोग गर्नुहोस् र तपाईंको सुरक्षा प्रतिरक्षाहरू भविष्यका खतराहरू सामना गर्न पर्याप्त बलियो छ भनी सुनिश्चित गर्नुहोस्। साइबर क्राइम विरुद्धको सँधै परिवर्तनशील युद्धमा एक कदम अगाडि रहनुहोस्।
PoorTry/BurntCigar भिडियो
सुझाव: आफ्नो आवाज खोल्नुहोस् र पूर्ण स्क्रिन मोडमा भिडियो हेर्नुहोस् ।