PoorTry/BurntCigar

Киберугрозный ландшафт стал свидетелем эволюции PoorTry, драйвера режима ядра Windows, который принял более разрушительный оборот. Изначально разработанный для отключения решений Endpoint Detection and Response (EDR), PoorTry теперь стал средством очистки EDR. Эта эволюция позволяет бандам вымогателей удалять файлы, критически важные для работы программного обеспечения безопасности, делая системы беззащитными и значительно усложняя восстановление.

Эволюция PoorTry: от дезактивации к уничтожению

PoorTry, также известный под псевдонимом «BurntCigar», был важным инструментом в арсенале группировок программ-вымогателей с момента своего создания в 2021 году. Первоначально он был разработан для отключения EDR и других мер безопасности. Со временем его использовали известные банды программ-вымогателей, включая BlackCat , Cuba и LockBit . Его развитие достигло заметного рубежа, когда его создатели использовали процесс подписи аттестации Microsoft, что позволило подписывать вредоносные драйверы и использовать их с большей эффективностью.

В течение 2022 и 2023 годов PoorTry продолжал развиваться, улучшая свои возможности уклонения от обнаружения. Внедрив такие инструменты обфускации, какVMProtect , Themida и ASMGuard, он стал более искусным в сокрытии своих злонамеренных намерений. Однако наиболее тревожное развитие событий произошло в июле 2024 года, когда PoorTry перешел от простого отключения систем EDR к их полному уничтожению.

Как работает PoorTry

Последняя итерация PoorTry начинается с компонента пользовательского режима, который тщательно идентифицирует каталоги установки программного обеспечения безопасности и выявляет критические файлы. Затем эта информация передается компоненту режима ядра, который выполняет атаку, систематически завершая процессы безопасности и удаляя важные файлы.

Способность PoorTry выбирать файлы по имени или типу добавляет уровень операционной гибкости, позволяя ему охватывать широкий спектр продуктов EDR. Эта точность гарантирует, что удаляются только самые важные файлы, что сводит к минимуму вероятность раннего обнаружения и в то же время максимизирует воздействие атаки на этапе шифрования.

Последствия эволюции PoorTry

Переход от деактивации EDR к стиранию представляет собой существенную эскалацию тактики, используемой субъектами вымогательства. Устраняя возможность восстановления или перезапуска систем EDR, злоумышленники могут продолжать шифрование без проблем, оставляя системы уязвимыми и беззащитными.

Несмотря на усилия таких фирм по кибербезопасности, как Trend Micro и Sophos, которые отслеживали эволюцию PoorTry и предупреждали о его растущих возможностях, разработчики этого инструмента постоянно адаптировались к новым защитным мерам. Эта адаптивность подчеркивает постоянную проблему, с которой сталкиваются специалисты по безопасности, опережая такие продвинутые угрозы.

Как удалить PoorTry и защитить свою систему

Учитывая агрессивную природу PoorTry, важно предпринять немедленные действия, если вы подозреваете, что ваша система была скомпрометирована. Вот пошаговое руководство по удалению PoorTry и защите вашей системы:

  1. Запустите полное сканирование системы с помощью программы защиты от вредоносных программ : Начните с использования надежной программы защиты от вредоносных программ для выполнения комплексного сканирования вашей системы. Убедитесь, что приложение обновлено с использованием последних определений угроз для эффективного обнаружения PoorTry.
  2. Изолируйте зараженную систему : если обнаружен PoorTry, изолируйте зараженную систему от вашей сети, чтобы предотвратить дальнейшее распространение вредоносного ПО.
  3. Удалите вредоносное ПО : следуйте инструкциям антивирусной программы, чтобы удалить PoorTry из вашей системы. Это может включать в себя помещение в карантин или удаление зараженных файлов. Убедитесь, что все следы вредоносного ПО устранены.
  4. Восстановите свое программное обеспечение безопасности : После удаления PoorTry вам может потребоваться переустановить или восстановить EDR и другие решения безопасности, чтобы обеспечить защиту вашей системы. Дважды проверьте, что все критические компоненты вашего программного обеспечения безопасности не повреждены и функционируют.
  5. Обновите и укрепите свою систему : поддерживайте актуальность операционной системы, приложений и программного обеспечения безопасности. Применяйте дополнительные меры безопасности, такие как сегментация сети и многофакторная аутентификация, чтобы снизить риск будущих атак.
  6. Мониторинг дальнейших угроз : Продолжайте следить за своей системой на предмет любых признаков повторного заражения или другой подозрительной активности. Будьте бдительны и будьте проактивны в применении исправлений и обновлений безопасности.

Эволюция PoorTry в EDR-вайпер знаменует собой новый уровень агрессии в тактике банд вирусов-вымогателей. Понимая, как работает эта вредоносная программа, и предпринимая быстрые действия по ее удалению, вы можете защитить свою систему от дальнейшего ущерба. Используйте надежную антивирусную программу для обнаружения и устранения PoorTry и убедитесь, что ваша защита достаточно надежна, чтобы противостоять будущим угрозам. Будьте на шаг впереди в постоянно меняющейся битве с киберпреступностью.

PoorTry/BurntCigar Видео

Совет: Включите звук ON и смотреть видео в полноэкранном режиме.

В тренде

Наиболее просматриваемые

Загрузка...