PoorTry/BurntCigar
Die Cyber-Bedrohungslandschaft hat die Entwicklung von PoorTry miterlebt, einem Windows-Kernelmodustreiber, der eine zerstörerischere Wendung genommen hat. Ursprünglich wurde PoorTry entwickelt, um Endpoint Detection and Response (EDR)-Lösungen zu deaktivieren, und ist nun zu einem EDR-Wiper geworden. Diese Entwicklung ermöglicht es Ransomware-Banden, für den Betrieb von Sicherheitssoftware wichtige Dateien zu löschen, wodurch Systeme schutzlos werden und die Wiederherstellung weitaus schwieriger wird.
Inhaltsverzeichnis
Die Entwicklung von PoorTry: Von der Deaktivierung zur Zerstörung
PoorTry, auch bekannt unter dem Pseudonym „BurntCigar“, ist seit seiner Einführung im Jahr 2021 ein wichtiges Werkzeug im Arsenal von Ransomware-Gruppen. Ursprünglich wurde es entwickelt, um EDR und andere Sicherheitsmaßnahmen zu deaktivieren. Im Laufe der Zeit wurde es von berüchtigten Ransomware-Banden eingesetzt, darunter BlackCat , Cuba und LockBit . Seine Entwicklung erreichte einen bemerkenswerten Meilenstein, als seine Entwickler Microsofts Attestation-Signing-Prozess ausnutzten, wodurch die bösartigen Treiber signiert und mit größerer Wirksamkeit verwendet werden konnten.
Im Laufe der Jahre 2022 und 2023 entwickelte sich PoorTry weiter und konnte seine Fähigkeit, der Entdeckung zu entgehen, verbessern. Durch die Integration von Verschleierungstools wieVMProtect , Themida und ASMGuard konnte es seine bösartigen Absichten immer besser verbergen. Die besorgniserregendste Entwicklung ereignete sich jedoch im Juli 2024, als PoorTry von der bloßen Deaktivierung von EDR-Systemen zur vollständigen Löschung überging.
So funktioniert PoorTry
Die neueste Version von PoorTry beginnt mit seiner Benutzermoduskomponente, die die Installationsverzeichnisse von Sicherheitssoftware akribisch identifiziert und kritische Dateien identifiziert. Diese Informationen werden dann an die Kernelmoduskomponente weitergeleitet, die den Angriff ausführt, indem sie Sicherheitsprozesse systematisch beendet und wichtige Dateien löscht.
Die Fähigkeit von PoorTry, Dateien nach Namen oder Typ anzuvisieren, verleiht ihm eine zusätzliche Ebene der betrieblichen Flexibilität und ermöglicht es, ein breites Spektrum an EDR-Produkten abzudecken. Diese Präzision stellt sicher, dass nur die kritischsten Dateien gelöscht werden. Dadurch wird die Wahrscheinlichkeit einer Früherkennung minimiert und die Auswirkungen des Angriffs während der Verschlüsselungsphase maximiert.
Die Auswirkungen der Entwicklung von PoorTry
Der Wechsel von der EDR-Deaktivierung zum Löschen stellt eine bedeutende Eskalation der von Ransomware-Akteuren eingesetzten Taktiken dar. Indem die Möglichkeit zur Wiederherstellung oder zum Neustart von EDR-Systemen entfernt wird, können Angreifer ungehindert mit der Verschlüsselung fortfahren, wodurch die Systeme anfällig und schutzlos bleiben.
Trotz der Bemühungen von Cybersicherheitsfirmen wie Trend Micro und Sophos, die die Entwicklung von PoorTry verfolgt und vor seinen zunehmenden Fähigkeiten gewarnt haben, haben die Entwickler dieses Tools kontinuierlich neue Abwehrmaßnahmen eingeführt. Diese Anpassungsfähigkeit unterstreicht die anhaltende Herausforderung für Sicherheitsexperten, solchen fortschrittlichen Bedrohungen immer einen Schritt voraus zu sein.
So entfernen Sie PoorTry und schützen Ihr System
Angesichts der aggressiven Natur von PoorTry ist es wichtig, sofort Maßnahmen zu ergreifen, wenn Sie den Verdacht haben, dass Ihr System kompromittiert wurde. Hier finden Sie eine Schritt-für-Schritt-Anleitung zum Entfernen von PoorTry und zum Schutz Ihres Systems:
- Führen Sie einen vollständigen Systemscan mit einem Anti-Malware-Programm durch : Führen Sie zunächst mit einem bewährten Anti-Malware-Programm einen umfassenden Scan Ihres Systems durch. Stellen Sie sicher, dass die Anwendung über die neuesten Bedrohungsdefinitionen verfügt, um PoorTry effektiv zu erkennen.
- Isolieren Sie das infizierte System : Wenn PoorTry erkannt wird, isolieren Sie das infizierte System von Ihrem Netzwerk, um eine weitere Verbreitung der Malware zu verhindern.
- Entfernen Sie die Malware : Folgen Sie den Anweisungen des Anti-Malware-Programms, um PoorTry von Ihrem System zu entfernen. Dies kann das Quarantäne-Verschieben oder Löschen infizierter Dateien beinhalten. Stellen Sie sicher, dass alle Spuren der Malware beseitigt sind.
- Stellen Sie Ihre Sicherheitssoftware wieder her : Nach dem Entfernen von PoorTry müssen Sie möglicherweise Ihren EDR und andere Sicherheitslösungen neu installieren oder wiederherstellen, um sicherzustellen, dass Ihr System geschützt ist. Überprüfen Sie noch einmal, ob alle wichtigen Komponenten Ihrer Sicherheitssoftware intakt und funktionsfähig sind.
- Aktualisieren und härten Sie Ihr System : Halten Sie Ihr Betriebssystem, Ihre Anwendungen und Ihre Sicherheitssoftware auf dem neuesten Stand. Wenden Sie zusätzliche Sicherheitsmaßnahmen wie Netzwerksegmentierung und Multi-Faktor-Authentifizierung an, um das Risiko zukünftiger Angriffe zu verringern.
- Achten Sie auf weitere Bedrohungen : Überwachen Sie Ihr System weiterhin auf Anzeichen einer erneuten Infektion oder anderer verdächtiger Aktivitäten. Bleiben Sie wachsam und wenden Sie Sicherheitspatches und -updates proaktiv an.
Die Entwicklung von PoorTry zu einem EDR-Wiper markiert eine neue Stufe der Aggressivität in den Taktiken von Ransomware-Banden. Wenn Sie verstehen, wie diese Malware funktioniert, und sie schnell entfernen, können Sie Ihr System vor weiteren Schäden schützen. Verwenden Sie ein zuverlässiges Anti-Malware-Programm, um PoorTry zu erkennen und zu beseitigen, und stellen Sie sicher, dass Ihre Sicherheitsvorkehrungen robust genug sind, um zukünftigen Bedrohungen standzuhalten. Bleiben Sie im sich ständig verändernden Kampf gegen Cyberkriminalität immer einen Schritt voraus.
PoorTry/BurntCigar Video
Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .