PoorTry/BurntCigar
Пејзаж сајбер претњи је био сведок еволуције ПоорТри-а, Виндовс драјвера у режиму језгра који је заузео деструктивнији заокрет. Првобитно дизајниран да онемогући решења за откривање крајњих тачака и одговор (ЕДР), ПоорТри је сада постао ЕДР брисач. Ова еволуција омогућава групама рансомваре-а да избришу датотеке кључне за рад безбедносног софтвера, чинећи системе беспомоћним и чинећи опоравак далеко изазовнијим.
Преглед садржаја
Еволуција ПоорТри-а: од деактивације до уништења
ПоорТри, такође познат по свом псеудониму „БурнтЦигар“, био је значајно средство у арсеналу група за рансомвер од свог оснивања 2021. У почетку је развијен да онемогући ЕДР и друге безбедносне мере. Временом су га користиле озлоглашене рансомваре банде, укључујући БлацкЦат , Цуба и ЛоцкБит . Његов развој је достигао значајну прекретницу када су његови креатори искористили Мицрософтов процес потписивања атестирања, омогућавајући да се злонамерни управљачки програми потпишу и користе са већом ефикасношћу.
Током 2022. и 2023. године, ПоорТри је наставио да се развија, побољшавајући своју способност да избегне откривање. Укључујући алате за прикривање као што суВМПротецт , Тхемида и АСМГуард, постао је вештији у скривању своје злонамерне намере. Међутим, развој који је највише забрињавао догодио се у јулу 2024. када је ПоорТри прешао са пуког онемогућавања ЕДР система на њихово потпуно брисање.
Како функционише ПоорТри
Најновија итерација ПоорТри-а почиње са компонентом корисничког режима, која пажљиво идентификује директоријуме за инсталацију безбедносног софтвера и прецизира критичне датотеке. Ове информације се затим прослеђују компоненти режима језгра, која извршава напад систематски прекидајући безбедносне процесе и брисањем битних датотека.
ПоорТри-ова способност да циља датотеке по имену или типу додаје слој оперативне флексибилности, омогућавајући му да покрије широк спектар ЕДР производа. Ова прецизност осигурава да се бришу само најкритичније датотеке, минимизирајући шансе за рано откривање док максимизира утицај напада током фазе шифровања.
Импликације ПоорТријеве еволуције
Прелазак са деактивације ЕДР-а на брисање представља значајну ескалацију тактике коју користе актери рансомваре-а. Уклањањем могућности опоравка или поновног покретања ЕДР система, нападачи могу наставити са шифровањем без изазова, остављајући системе рањивим и беспомоћним.
Упркос напорима компанија за сајбер безбедност као што су Тренд Мицро и Сопхос, које су пратиле еволуцију ПоорТри-а и упозоравале на његове све веће могућности, програмери који стоје иза овог алата доследно су се прилагођавали новим одбрамбеним мерама. Ова прилагодљивост наглашава стални изазов са којим се суочавају професионалци у области безбедности да би били испред таквих напредних претњи.
Како уклонити ПоорТри и заштитити свој систем
С обзиром на агресивну природу ПоорТри-а, неопходно је предузети хитне мере ако сумњате да је ваш систем компромитован. Ево водича корак по корак за уклањање ПоорТри-а и заштиту вашег система:
- Покрените потпуно скенирање система помоћу програма за заштиту од малвера : Започните коришћењем угледног анти-малвер програма да бисте извршили свеобухватно скенирање вашег система. Уверите се да је апликација ажурна са најновијим дефиницијама претњи да бисте ефикасно открили ПоорТри.
- Изолујте заражени систем : Ако се открије ПоорТри, изолујте заражени систем од своје мреже да бисте спречили даље ширење малвера.
- Уклоните злонамерни софтвер : Пратите упутства програма за заштиту од малвера да бисте уклонили ПоорТри са свог система. Ово може укључивати стављање у карантин или брисање заражених датотека. Уверите се да су сви трагови малвера елиминисани.
- Вратите свој безбедносни софтвер : Након уклањања ПоорТри-а, можда ћете морати да поново инсталирате или вратите свој ЕДР и друга безбедносна решења како бисте осигурали да је ваш систем заштићен. Још једном проверите да ли су све критичне компоненте вашег безбедносног софтвера нетакнуте и да функционишу.
- Ажурирајте и ојачајте свој систем : Одржавајте свој оперативни систем, апликације и безбедносни софтвер ажурним. Примените додатне безбедносне мере, као што су сегментација мреже и вишефакторска аутентификација, да бисте умањили ризик од будућих напада.
- Праћење даљих претњи : Наставите да надгледате свој систем за било какве знаке поновне инфекције или друге сумњиве активности. Будите опрезни и будите проактивни у примени безбедносних закрпа и ажурирања.
Еволуција ПоорТри-а у ЕДР брисач означава нови ниво агресије у тактици рансомваре банди. Ако разумете како овај малвер функционише и предузмете брзу акцију да га уклоните, можете заштитити свој систем од даљег оштећења. Користите поуздан анти-малвер програм да бисте открили и елиминисали ПоорТри и осигурали да је ваша безбедносна одбрана довољно робусна да издржи будуће претње. Останите корак испред у борби против сајбер криминала који се стално мења.
PoorTry/BurntCigar Видео
Савет: Укључите звук и гледајте видео у режиму целог екрана .