Kyj 랜섬웨어
기업과 개인이 데이터 가용성에 크게 의존하는 오늘날의 디지털 환경에서 랜섬웨어의 위협은 지속적이고 파괴적인 세력으로 자리 잡았습니다. 악명 높은 다르마(Dharma) 계열의 변종인 Kyj 랜섬웨어는 중요한 파일을 암호화하고, 운영을 중단시키고, 귀중한 데이터를 인질로 잡을 수 있는 심각한 사이버 보안 위험을 초래합니다. 이 랜섬웨어의 작동 방식을 이해하고 사전 예방적 보안 조치를 시행하는 것은 피해를 최소화하고 감염 가능성을 줄이는 데 필수적인 단계입니다.
목차
Kyj 랜섬웨어의 정체를 밝히다
Kyj 랜섬웨어는 수많은 파괴적인 캠페인을 일으킨 잘 알려진 계통인 Dharma 랜섬웨어 계열에 속합니다. 대상 시스템에서 실행되면 Kyj는 즉시 로컬 드라이브와 공유 네트워크 위치 모두의 파일을 암호화하기 시작합니다. 고유 피해자 ID, 연락처 이메일 주소, 그리고 '.kyj' 확장자를 추가하여 파일 이름을 변경합니다. 예를 들어, '1.png'와 같은 파일은 '1.png.id-9ECFA84E-KYJ.[kyjpc@cock.li].kyj'로 이름이 변경됩니다.
피해자는 두 개의 랜섬웨어 메시지를 받게 되는데, 하나는 팝업 창으로, 다른 하나는 'info-kyj.txt'라는 텍스트 파일로 저장됩니다. 이 메시지는 피해자에게 암호화 사실을 알리고, 이메일('kyjpc@cock.li' 또는 'kyjpc@mailum.com')이나 텔레그램('@kyjpc')을 통해 공격자에게 연락하여 지불 방법을 안내합니다. 또한, 데이터 손상이나 랜섬웨어 요구 증가의 위험이 있으므로 암호화된 파일의 이름을 변경하거나 타사 복호화 도구를 사용하지 말 것을 강력히 권고합니다.
끈기와 시스템 방해 전술
Kyj 랜섬웨어는 단순히 파일을 암호화하는 데 그치지 않고, 존재를 확인하고 복구를 차단하기 위한 조치를 취합니다. %LOCALAPPDATA% 디렉터리에 자신을 설치하고 Windows 실행 키에 레지스트리 항목을 설정하여 시스템 재시작 후에도 지속성을 유지합니다. 또한 시스템 방화벽을 비활성화하고 파일 복구에 자주 사용되는 볼륨 섀도 복사본을 삭제하여 피해자가 외부의 도움 없이 시스템을 복구할 수 없도록 합니다.
흥미로운 점은 이 맬웨어가 지리적 위치 데이터를 수집하고 특정 지역에서 실행되지 않는다는 것입니다. 이는 사이버 범죄자들이 현지 법 집행 관할권을 우회하거나 본국에 영향을 미치는 것을 피하기 위해 일반적으로 사용하는 전략입니다.
감염 매개체: Kyj의 확산 방식
Kyj 랜섬웨어의 가장 흔한 진입점은 보안되지 않은 원격 데스크톱 프로토콜(RDP) 서비스를 통한 것입니다. 위협 행위자는 시스템에 접근하기 위해 취약한 RDP 자격 증명을 무차별 대입 공격(brute-force)하는 경우가 많은데, 이는 Dharma 변종과 밀접한 관련이 있는 전술입니다. 그러나 Kyj는 다음과 같은 보다 일반적인 방법을 통해서도 기기에 침투할 수 있습니다.
- 악성 링크나 첨부 파일이 포함된 피싱 이메일
- 가짜 소프트웨어 크랙, 키젠 및 불법 복제 프로그램
맬웨어는 실행 파일, 스크립트, ZIP 또는 RAR 파일과 같은 압축 아카이브 등 다양한 형식으로 전달될 수 있습니다.
KYJ 감염의 징후
랜섬웨어 공격을 조기에 감지하는 것은 매우 중요합니다. Kyj와 관련된 몇 가지 일반적인 징후는 다음과 같습니다.
- .kyj 확장자로 이름이 바뀐 파일과 관련 연락처 정보
- info-kyj.txt 랜섬웨어 메모 및/또는 팝업 메시지가 나타납니다.
- 이전에 문제없이 작동했던 파일을 열 수 없음
- 시스템 속도 저하 또는 응답하지 않는 애플리케이션
- 방화벽이 비활성화되었거나 백업 스냅샷이 삭제되었습니다.
- 방어 강화: 보안 모범 사례
Kyj와 같은 랜섬웨어를 방어하려면 다층적이고 선제적인 접근 방식이 필요합니다. 사용자와 조직은 예방 기술, 안전 습관, 그리고 복구 전략을 모두 병행해야 합니다.
권장 보안 조치
정기 백업 : 중요 데이터는 버전 관리가 가능한 백업을 자주 유지하세요. 랜섬웨어가 백업 파일을 암호화하는 것을 방지하기 위해 오프라인 또는 주 네트워크와 분리된 원격 서버에 백업하세요.
엔드포인트 보호 : 실시간 보호 및 동작 기반 탐지 기능을 갖춘 평판 좋은 바이러스 백신 및 맬웨어 방지 소프트웨어를 사용하세요.
결론
Kyj 랜섬웨어는 오늘날의 위협 환경에서 사이버 범죄자들의 진화하는 전략을 보여주는 강력하고 위험한 악성코드입니다. 파일 암호화, 탐지 회피, 복구 옵션 비활성화 등의 기능을 갖춘 Kyj 랜섬웨어는 강력한 공격자로 자리매김했습니다. 사용자는 Kyj 랜섬웨어의 행동을 인지하고 강력한 사이버 보안 조치를 구현함으로써 위험을 크게 줄이고 공격 발생 시 효과적으로 대응할 수 있습니다.
메시지
Kyj 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: kyjpc@cock.li YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:kyjpc@mailum.com k y j encrypted TELEGRAM: @kyjpc Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email kyjpc@cock.li or kyjpc@mailum.com or @kyjpc |
