PoorTry/BurntCigar

Ландшафт кіберзагроз став свідком еволюції PoorTry, драйвера Windows у режимі ядра, який прийняв більш руйнівний поворот. Спочатку розроблений для вимкнення рішень для виявлення та реагування кінцевих точок (EDR), PoorTry тепер став очищувачем EDR. Ця еволюція дозволяє групам програм-вимагачів видаляти файли, важливі для роботи програмного забезпечення безпеки, роблячи системи беззахисними та значно ускладнюючи відновлення.

Еволюція PoorTry: від дезактивації до знищення

PoorTry, також відомий під своїм псевдонімом «BurntCigar», був значним інструментом в арсеналі груп програм-вимагачів з моменту його створення в 2021 році. Спочатку він був розроблений для відключення EDR та інших заходів безпеки. Згодом його використовували сумнозвісні групи програм-вимагачів, зокрема BlackCat , Cuba та LockBit . Його розробка досягла помітної віхи, коли його творці використали процес підписання атестацій Microsoft, дозволяючи підписувати та використовувати зловмисні драйвери з більшою ефективністю.

Протягом 2022 і 2023 років PoorTry продовжував розвиватися, покращуючи свою здатність уникати виявлення. Завдяки використанню інструментів обфускації, таких якVMProtect , Themida та ASMGuard, він став більш вправним у приховуванні свого зловмисного наміру. Однак найбільш тривожний розвиток подій стався в липні 2024 року, коли PoorTry перейшов від простого вимкнення систем EDR до їх повного видалення.

Як працює PoorTry

Остання версія PoorTry починається з компонента режиму користувача, який ретельно визначає каталоги інсталяції програмного забезпечення безпеки та визначає критичні файли. Потім ця інформація передається компоненту режиму ядра, який виконує атаку шляхом систематичного припинення процесів безпеки та видалення основних файлів.

Здатність PoorTry націлювати файли за назвою або типом додає рівень операційної гнучкості, дозволяючи охоплювати широкий спектр продуктів EDR. Ця точність гарантує видалення лише найбільш важливих файлів, мінімізуючи ймовірність раннього виявлення та максимізуючи вплив атаки на етапі шифрування.

Наслідки еволюції PoorTry

Перехід від деактивації EDR до стирання є суттєвою ескалацією тактики, яку використовують суб’єкти програм-вимагачів. Усунувши можливість відновлення або перезапуску систем EDR, зловмисники можуть безперешкодно продовжувати шифрування, залишаючи системи вразливими та беззахисними.

Незважаючи на зусилля компаній з кібербезпеки, таких як Trend Micro і Sophos, які відстежували розвиток PoorTry і попереджали про його зростаючі можливості, розробники цього інструменту постійно адаптувалися до нових захисних заходів. Ця адаптивність підкреслює постійну проблему, з якою стикаються професіонали безпеки, щоб випередити такі прогресивні загрози.

Як видалити PoorTry і захистити вашу систему

Враховуючи агресивний характер PoorTry, важливо вжити негайних заходів, якщо ви підозрюєте, що вашу систему зламано. Ось покроковий посібник із видалення PoorTry і захисту вашої системи:

  1. Запустіть повне сканування системи за допомогою програми захисту від зловмисного програмного забезпечення : почніть із використання надійної програми захисту від шкідливого програмного забезпечення, щоб виконати комплексне сканування вашої системи. Переконайтеся, що програма оновлена з найновішими визначеннями загроз, щоб ефективно виявляти PoorTry.
  2. Ізолюйте заражену систему : якщо виявлено PoorTry, ізолюйте заражену систему від мережі, щоб запобігти подальшому поширенню зловмисного програмного забезпечення.
  3. Видаліть зловмисне програмне забезпечення : дотримуйтеся вказівок програми захисту від зловмисного програмного забезпечення, щоб видалити PoorTry із вашої системи. Це може включати карантин або видалення заражених файлів. Переконайтеся, що всі сліди шкідливого програмного забезпечення видалено.
  4. Відновіть програмне забезпечення безпеки : після видалення PoorTry вам може знадобитися повторно встановити або відновити EDR та інші рішення безпеки, щоб забезпечити захист вашої системи. Ще раз перевірте, чи всі важливі компоненти вашого програмного забезпечення безпеки неушкоджені та функціонують.
  5. Оновіть та посиліть свою систему : оновлюйте свою операційну систему, програми та програмне забезпечення безпеки. Застосуйте додаткові заходи безпеки, такі як сегментація мережі та багатофакторна автентифікація, щоб зменшити ризик майбутніх атак.
  6. Відстежуйте подальші загрози : продовжуйте відстежувати свою систему на наявність ознак повторного зараження чи іншої підозрілої діяльності. Залишайтеся пильними та будьте проактивними у застосуванні виправлень безпеки та оновлень.

Еволюція PoorTry у склоочисник EDR знаменує новий рівень агресії в тактиці банд програм-вимагачів. Розуміючи, як працює це зловмисне програмне забезпечення, і вживаючи швидких заходів для його видалення, ви можете захистити свою систему від подальшого пошкодження. Використовуйте надійну програму захисту від зловмисного програмного забезпечення, щоб виявити й усунути PoorTry і переконатися, що ваші засоби захисту достатньо надійні, щоб протистояти майбутнім загрозам. Будьте на крок попереду в боротьбі з кіберзлочинцями, що постійно змінюється.

PoorTry/BurntCigar Відео

Порада. Увімкніть звук і дивіться відео в повноекранному режимі .

В тренді

Найбільше переглянуті

Завантаження...