PoorTry/BurntCigar
Krajobraz cyberzagrożeń był świadkiem ewolucji PoorTry, sterownika Windows w trybie jądra, który przybrał bardziej destrukcyjny obrót. Początkowo zaprojektowany do wyłączania rozwiązań Endpoint Detection and Response (EDR), PoorTry stał się teraz czyścicielem EDR. Ta ewolucja pozwala gangom ransomware usuwać pliki kluczowe dla działania oprogramowania zabezpieczającego, czyniąc systemy bezbronnymi i czyniąc odzyskiwanie znacznie trudniejszym.
Spis treści
Ewolucja PoorTry: od dezaktywacji do zniszczenia
PoorTry, znany również pod pseudonimem „BurntCigar”, jest znaczącym narzędziem w arsenale grup ransomware od momentu jego powstania w 2021 r. Początkowo został opracowany w celu wyłączenia EDR i innych środków bezpieczeństwa. Z czasem był wykorzystywany przez znane gangi ransomware, w tym BlackCat , Cuba i LockBit . Jego rozwój osiągnął znaczący kamień milowy, gdy jego twórcy wykorzystali proces podpisywania poświadczeń firmy Microsoft, umożliwiając podpisywanie i używanie złośliwych sterowników z większą skutecznością.
Przez cały rok 2022 i 2023 PoorTry nadal ewoluował, zwiększając swoją zdolność do unikania wykrycia. Dzięki włączeniu narzędzi zaciemniających, takich jakVMProtect , Themida i ASMGuard, stał się bardziej biegły w ukrywaniu swoich złośliwych zamiarów. Jednak najbardziej niepokojący rozwój nastąpił w lipcu 2024 r., kiedy PoorTry przeszedł od zwykłego wyłączania systemów EDR do ich całkowitego usuwania.
Jak działa PoorTry
Najnowsza iteracja PoorTry zaczyna się od komponentu trybu użytkownika, który skrupulatnie identyfikuje katalogi instalacyjne oprogramowania zabezpieczającego i wskazuje krytyczne pliki. Następnie informacje te są przekazywane do komponentu trybu jądra, który wykonuje atak, systematycznie kończąc procesy zabezpieczające i usuwając niezbędne pliki.
Możliwość PoorTry do kierowania plików według nazwy lub typu dodaje warstwę elastyczności operacyjnej, umożliwiając mu pokrycie szerokiego spektrum produktów EDR. Ta precyzja zapewnia, że usuwane są tylko najbardziej krytyczne pliki, minimalizując szanse wczesnego wykrycia, a jednocześnie maksymalizując wpływ ataku w fazie szyfrowania.
Konsekwencje ewolucji PoorTry
Zmiana z dezaktywacji EDR na czyszczenie oznacza znaczącą eskalację taktyk stosowanych przez aktorów ransomware. Usuwając możliwość odzyskiwania lub ponownego uruchamiania systemów EDR, atakujący mogą kontynuować szyfrowanie bez przeszkód, pozostawiając systemy podatne na ataki i bezbronne.
Pomimo wysiłków firm zajmujących się cyberbezpieczeństwem, takich jak Trend Micro i Sophos, które śledziły ewolucję PoorTry i ostrzegały o jego rosnących możliwościach, twórcy tego narzędzia konsekwentnie dostosowywali się do nowych środków obronnych. Ta zdolność adaptacji podkreśla ciągłe wyzwanie, przed którym stoją specjaliści ds. bezpieczeństwa, aby wyprzedzać tak zaawansowane zagrożenia.
Jak usunąć PoorTry i chronić swój system
Biorąc pod uwagę agresywną naturę PoorTry, konieczne jest natychmiastowe podjęcie działań, jeśli podejrzewasz, że Twój system został naruszony. Oto przewodnik krok po kroku, jak usunąć PoorTry i zabezpieczyć swój system:
- Uruchom pełne skanowanie systemu za pomocą programu antywirusowego : Zacznij od użycia renomowanego programu antywirusowego, aby wykonać kompleksowe skanowanie systemu. Upewnij się, że aplikacja jest aktualna i zawiera najnowsze definicje zagrożeń, aby skutecznie wykrywać PoorTry.
- Odizoluj zainfekowany system : Jeśli zostanie wykryty wirus PoorTry, odizoluj zainfekowany system od sieci, aby zapobiec dalszemu rozprzestrzenianiu się złośliwego oprogramowania.
- Usuń Malware : Postępuj zgodnie z instrukcjami programu antymalware, aby usunąć PoorTry z systemu. Może to obejmować kwarantannę lub usunięcie zainfekowanych plików. Upewnij się, że wszystkie ślady malware zostały wyeliminowane.
- Przywróć oprogramowanie zabezpieczające : Po usunięciu PoorTry może być konieczne ponowne zainstalowanie lub przywrócenie EDR i innych rozwiązań zabezpieczających, aby zapewnić ochronę systemu. Sprawdź dokładnie, czy wszystkie krytyczne komponenty oprogramowania zabezpieczającego są nienaruszone i działają.
- Aktualizuj i wzmacniaj swój system : Utrzymuj swój system operacyjny, aplikacje i oprogramowanie zabezpieczające na bieżąco. Zastosuj dodatkowe środki bezpieczeństwa, takie jak segmentacja sieci i uwierzytelnianie wieloskładnikowe, aby zmniejszyć ryzyko przyszłych ataków.
- Monitoruj dalsze zagrożenia : Kontynuuj monitorowanie swojego systemu pod kątem oznak ponownej infekcji lub innej podejrzanej aktywności. Zachowaj czujność i bądź proaktywny w stosowaniu poprawek bezpieczeństwa i aktualizacji.
Ewolucja PoorTry w narzędzie do usuwania EDR oznacza nowy poziom agresji w taktyce gangów ransomware. Rozumiejąc, jak działa to złośliwe oprogramowanie i podejmując szybkie działania w celu jego usunięcia, możesz chronić swój system przed dalszymi uszkodzeniami. Użyj niezawodnego programu antywirusowego, aby wykryć i wyeliminować PoorTry i upewnić się, że Twoje zabezpieczenia są wystarczająco solidne, aby wytrzymać przyszłe zagrożenia. Bądź o krok przed innymi w ciągle zmieniającej się walce z cyberprzestępczością.
PoorTry/BurntCigar wideo
Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.