Hotdatabas Skadlig programvara PoorTry/BurntCigar

PoorTry/BurntCigar

Cyberhotslandskapet har bevittnat utvecklingen av PoorTry, en Windows-drivrutin i kärnläge som har tagit en mer destruktiv vändning. PoorTry, som ursprungligen var designad för att inaktivera Endpoint Detection and Response (EDR)-lösningar, har nu blivit en EDR-torkare. Denna utveckling gör det möjligt för ransomware-gäng att ta bort filer som är avgörande för säkerhetsprogramvaruoperationer, vilket gör systemen försvarslösa och gör återställningen mycket mer utmanande.

The Evolution of PoorTry: Från deaktivering till förstörelse

PoorTry, även känd under sitt alias "BurntCigar", har varit ett betydande verktyg i arsenalen av ransomware-grupper sedan starten 2021. Inledningsvis utvecklades den för att inaktivera EDR och andra säkerhetsåtgärder. Med tiden har det använts av ökända ransomware-gäng, inklusive BlackCat , Cuba och LockBit . Dess utveckling nådde en anmärkningsvärd milstolpe när dess skapare utnyttjade Microsofts process för attesteringssignering, vilket gjorde att de skadliga drivrutinerna kunde signeras och användas med större effektivitet.

Under 2022 och 2023 fortsatte PoorTry att utvecklas, vilket förbättrade dess förmåga att undvika upptäckt. Genom att införliva obfuskeringsverktyg somVMProtect , Themida och ASMGuard blev den skickligare på att dölja sin skadliga avsikt. Men den mest oroande utvecklingen inträffade i juli 2024 när PoorTry övergick från att bara inaktivera EDR-system till att radera dem helt.

Hur PoorTry fungerar

Den senaste versionen av PoorTry börjar med dess användarlägeskomponent, som noggrant identifierar installationskatalogerna för säkerhetsprogramvara och lokaliserar viktiga filer. Denna information vidarebefordras sedan till kernel-mode-komponenten, som utför attacken genom att systematiskt avsluta säkerhetsprocesser och radera viktiga filer.

PoorTrys förmåga att rikta in filer efter namn eller typ lägger till ett lager av operativ flexibilitet, vilket gör det möjligt att täcka ett brett spektrum av EDR-produkter. Denna precision säkerställer att endast de mest kritiska filerna raderas, vilket minimerar chanserna för tidig upptäckt samtidigt som attackens påverkan maximeras under krypteringsfasen.

Implikationerna av PoorTry's Evolution

Skiftet från EDR-deaktivering till att torka representerar en meningsfull eskalering av taktiken som används av ransomware-aktörer. Genom att ta bort möjligheten att återställa eller starta om EDR-system kan angripare fortsätta med kryptering ohotad, vilket gör systemen sårbara och försvarslösa.

Trots ansträngningarna från cybersäkerhetsföretag som Trend Micro och Sophos, som har spårat PoorTrys utveckling och varnat för dess ökande kapacitet, har utvecklarna bakom detta verktyg konsekvent anpassat sig till nya defensiva åtgärder. Denna anpassningsförmåga understryker den pågående utmaningen som säkerhetspersonal står inför när det gäller att ligga steget före sådana avancerade hot.

Hur man tar bort PoorTry och skyddar ditt system

Med tanke på PoorTrys aggressiva karaktär är det viktigt att vidta omedelbara åtgärder om du misstänker att ditt system har äventyrats. Här är en steg-för-steg-guide för att ta bort PoorTry och skydda ditt system:

  1. Kör en fullständig systemsökning med ett anti-malware-program : Börja med att använda ett välrenommerat anti-malware-program för att utföra en omfattande genomsökning av ditt system. Se till att applikationen är uppdaterad med de senaste hotdefinitionerna för att upptäcka PoorTry effektivt.
  2. Isolera det infekterade systemet : Om PoorTry upptäcks, isolera det infekterade systemet från ditt nätverk för att förhindra ytterligare spridning av skadlig programvara.
  3. Ta bort skadlig programvara : Följ instruktionerna i programmet mot skadlig programvara för att ta bort PoorTry från ditt system. Detta kan innebära karantän eller radering av infekterade filer. Se till att alla spår av skadlig programvara elimineras.
  4. Återställ din säkerhetsprogramvara : När du har tagit bort PoorTry kan du behöva installera om eller återställa din EDR och andra säkerhetslösningar för att säkerställa att ditt system är skyddat. Dubbelkolla att alla viktiga komponenter i din säkerhetsprogramvara är intakta och fungerar.
  5. Uppdatera och härda ditt system : Håll ditt operativsystem, applikationer och säkerhetsprogram uppdaterade. Tillämpa ytterligare säkerhetsåtgärder, såsom nätverkssegmentering och multifaktorautentisering, för att minska risken för framtida attacker.
  6. Övervaka för ytterligare hot : Fortsätt att övervaka ditt system efter tecken på återinfektion eller annan misstänkt aktivitet. Håll dig vaksam och var proaktiv med att applicera säkerhetskorrigeringar och uppdateringar.

PoorTrys utveckling till en EDR-torkare markerar en ny nivå av aggression i taktiken för ransomware-gäng. Genom att förstå hur denna skadliga programvara fungerar och vidta snabba åtgärder för att ta bort den kan du skydda ditt system från ytterligare skador. Använd ett pålitligt anti-malware-program för att upptäcka och eliminera PoorTry och se till att ditt säkerhetsförsvar är tillräckligt robust för att motstå framtida hot. Ligg steget före i den ständigt föränderliga kampen mot cyberbrottslighet.

PoorTry/BurntCigar Video

Tips: Slå ljudet och titta på videon i helskärmsläge .

Trendigt

Mest sedda

Läser in...