PoorTry/BurntCigar
網路威脅情勢見證了 PoorTry 的演變,PoorTry 是一種核心模式 Windows 驅動程序,已採取更具破壞性的轉變。 PoorTry 最初設計用於停用端點偵測和回應 (EDR) 解決方案,現在已成為 EDR 擦除器。這種演變使得勒索軟體團夥能夠刪除對安全軟體操作至關重要的文件,使系統變得毫無防禦能力,並使恢復變得更加困難。
目錄
PoorTry 的演進:從停用到銷毀
PoorTry,又稱為“BurntCigar”,自 2021 年成立以來一直是勒索軟體團體的重要工具。隨著時間的推移,它已被臭名昭著的勒索軟體團夥利用,包括BlackCat 、 Cuba和LockBit 。當其創建者利用 Microsoft 的證明簽章流程時,其發展達到了一個顯著的里程碑,從而允許更有效地簽署和使用惡意驅動程式。
在 2022 年和 2023 年期間,PoorTry 不斷發展,增強了逃避偵測的能力。透過結合VMProtect 、 Themida和 ASMGuard 等混淆工具,它變得更加善於隱藏其惡意意圖。然而,最令人擔憂的發展發生在 2024 年 7 月,當時 PoorTry 從僅僅禁用 EDR 系統過渡到完全消除它們。
PoorTry 的工作原理
PoorTry 的最新版本從其使用者模式元件開始,該元件可以仔細識別安全軟體的安裝目錄並精確定位關鍵檔案。然後,該資訊被轉發到核心模式元件,該元件透過系統地終止安全進程並刪除重要檔案來執行攻擊。
PoorTry 按名稱或類型定位檔案的能力增加了一層操作靈活性,使其能夠覆蓋廣泛的 EDR 產品。這種精確度可確保僅刪除最關鍵的文件,從而最大限度地減少早期檢測的機會,同時最大限度地提高加密階段攻擊的影響。
PoorTry 演變的影響
從 EDR 停用到擦除的轉變代表了勒索軟體攻擊者所採用策略的有意義的升級。透過消除恢復或重新啟動 EDR 系統的能力,攻擊者可以不受挑戰地進行加密,使系統變得脆弱且毫無防禦能力。
儘管趨勢科技和 Sophos 等網路安全公司做出了努力,追蹤了 PoorTry 的演變並警告其不斷增強的功能,但該工具背後的開發人員一直在適應新的防禦措施。這種適應性凸顯了安全專業人員在應對此類高階威脅方面所面臨的持續挑戰。
如何刪除 PoorTry 並保護您的系統
鑑於 PoorTry 的攻擊性,如果您懷疑您的系統已受到損害,則必須立即採取行動。以下是刪除 PoorTry 並保護系統的逐步指南:
- 使用反惡意軟體程式執行全面系統掃描:首先使用信譽良好的反惡意軟體程式對您的系統執行全面掃描。確保應用程式與最新的威脅定義保持同步,以有效偵測 PoorTry。
- 隔離受感染的系統:如果偵測到 PoorTry,請將受感染的系統與您的網路隔離,以防止惡意軟體進一步傳播。
- 刪除惡意軟體:依照反惡意軟體程式的說明從系統中移除 PoorTry。這可能涉及隔離或刪除受感染的檔案。確保消除惡意軟體的所有痕跡。
- 恢復您的安全軟體:刪除 PoorTry 後,您可能需要重新安裝或復原您的 EDR 和其他安全解決方案,以確保您的系統受到保護。仔細檢查安全軟體的所有關鍵組件是否完好且正常運作。
- 更新並強化您的系統:讓您的作業系統、應用程式和安全軟體保持最新。應用額外的安全措施,例如網路分段和多因素身份驗證,以降低未來攻擊的風險。
- 監控進一步威脅:繼續監控您的系統是否有任何再感染或其他可疑活動的跡象。保持警覺並積極主動地應用安全修補程式和更新。
PoorTry 演變為 EDR 擦除器標誌著勒索軟體團伙的攻擊策略達到了新的水平。透過了解該惡意軟體的運作方式並迅速採取行動將其刪除,您可以保護您的系統免受進一步損害。使用可靠的反惡意軟體程式來偵測和消除 PoorTry,並確保您的安全防禦足夠強大,能夠抵禦未來的威脅。在不斷變化的打擊網路犯罪的鬥爭中保持領先一步。
PoorTry/BurntCigar視頻
提示:把你的声音并观察在全屏模式下的视频。