PoorTry/BurntCigar
网络威胁领域见证了 PoorTry 的演变,这是一种内核模式 Windows 驱动程序,其破坏性已大大增强。PoorTry 最初设计用于禁用端点检测和响应 (EDR) 解决方案,现在已成为 EDR 擦除器。这种演变使勒索软件团伙能够删除对安全软件运行至关重要的文件,使系统失去防御能力,并使恢复变得更加困难。
目录
PoorTry 的演变:从停用到销毁
PoorTry,又名“BurntCigar”,自 2021 年诞生以来一直是勒索软件团伙的重要武器。最初,它是为了禁用 EDR 和其他安全措施而开发的。随着时间的推移,它已被臭名昭著的勒索软件团伙使用,包括BlackCat 、 Cuba和LockBit 。它的开发达到了一个重要的里程碑,因为它的创建者利用了微软的证明签名流程,允许对恶意驱动程序进行签名并以更高的效率使用。
在 2022 年和 2023 年,PoorTry 不断发展,增强了其逃避检测的能力。通过整合VMProtect 、 Themida和 ASMGuard 等混淆工具,它变得更加善于隐藏其恶意意图。然而,最令人担忧的发展发生在 2024 年 7 月,当时 PoorTry 从仅仅禁用 EDR 系统转变为彻底消灭它们。
PoorTry 的工作原理
PoorTry 的最新版本从其用户模式组件开始,该组件会仔细识别安全软件的安装目录并精确定位关键文件。然后,该信息被传递到内核模式组件,后者通过系统地终止安全进程并删除重要文件来执行攻击。
PoorTry 能够按名称或类型定位文件,这增加了一层操作灵活性,使其能够覆盖广泛的 EDR 产品。这种精确性可确保只删除最关键的文件,最大限度地减少早期检测的机会,同时最大限度地提高加密阶段攻击的影响。
PoorTry 进化的意义
从 EDR 停用到擦除的转变代表勒索软件参与者所采用的策略显著升级。通过消除恢复或重新启动 EDR 系统的能力,攻击者可以不受挑战地继续加密,使系统变得脆弱且无防御能力。
尽管 Trend Micro 和 Sophos 等网络安全公司一直在努力跟踪 PoorTry 的发展并警告其功能不断增强,但该工具的开发人员一直在不断适应新的防御措施。这种适应性凸显了安全专业人员在应对此类高级威胁方面面临的持续挑战。
如何删除 PoorTry 并保护您的系统
鉴于 PoorTry 的攻击性,如果您怀疑您的系统已被入侵,必须立即采取行动。以下是删除 PoorTry 和保护您的系统的分步指南:
- 使用反恶意软件程序运行全面系统扫描:首先使用信誉良好的反恶意软件程序对您的系统进行全面扫描。确保应用程序已更新最新的威胁定义,以便有效检测 PoorTry。
- 隔离受感染的系统:如果检测到 PoorTry,请将受感染的系统与您的网络隔离,以防止恶意软件进一步传播。
- 删除恶意软件:按照反恶意软件程序的说明从系统中删除 PoorTry。这可能涉及隔离或删除受感染的文件。确保消除恶意软件的所有痕迹。
- 恢复您的安全软件:删除 PoorTry 后,您可能需要重新安装或恢复 EDR 和其他安全解决方案,以确保您的系统受到保护。仔细检查您的安全软件的所有关键组件是否完好无损且正常运行。
- 更新和强化您的系统:保持您的操作系统、应用程序和安全软件为最新版本。应用额外的安全措施,如网络分段和多因素身份验证,以降低未来受到攻击的风险。
- 监控进一步威胁:继续监控您的系统,看是否有任何再次感染或其他可疑活动的迹象。保持警惕,主动应用安全补丁和更新。
PoorTry 演变为 EDR 清除程序,标志着勒索软件团伙的攻击手段达到了新的水平。通过了解此恶意软件的运作方式并迅速采取行动将其删除,您可以保护您的系统免受进一步损害。使用可靠的反恶意软件程序来检测和消除 PoorTry,确保您的安全防御足够强大,可以抵御未来的威胁。在不断变化的网络犯罪斗争中保持领先一步。
PoorTry/BurntCigar视频
提示:把你的声音并观察在全屏模式下的视频。