Kyj išpirkos reikalaujanti programa
Šiandienos skaitmeninėje erdvėje, kur įmonės ir asmenys labai priklauso nuo duomenų prieinamumo, išpirkos reikalaujančių programų grėsmė tapo nuolatine ir žalinga jėga. „Kyj Ransomware“ – liūdnai pagarsėjusios „Dharma“ šeimos atmaina – kelia rimtą kibernetinio saugumo grėsmę, galinti užšifruoti svarbius failus, sutrikdyti veiklą ir laikyti vertingus duomenis įkaitais. Supratimas, kaip veikia ši išpirkos reikalaujanti programa, ir aktyvių saugumo priemonių įgyvendinimas yra būtini žingsniai siekiant sumažinti žalą ir užkrėtimo tikimybę.
Turinys
„Kyj Ransomware“ demaskavimas
„Kyj“ išpirkos reikalaujanti programa priklauso „Dharma“ išpirkos reikalaujančių programų šeimai – gerai žinomai linijai, atsakingai už daugybę žalingų kampanijų. Paleidus programą tikslinėje sistemoje, „Kyj“ nedelsdama pradeda šifruoti failus tiek vietiniuose diskuose, tiek bendrose tinklo vietose. Ji modifikuoja failų pavadinimus, pridėdama unikalų aukos ID, kontaktinį el. pašto adresą ir plėtinį „.kyj“. Pavyzdžiui, failas, pvz., „1.png“, pervadinamas į „1.png.id-9ECFA84E-KYJ.[kyjpc@cock.li].kyj“.
Aukos gauna du išpirkos reikalaujančius raštelius – vieną iššokančiame lange ir kitą, išsaugotą kaip tekstinį failą pavadinimu „info-kyj.txt“. Šiuose rašteliuose auka informuojama apie šifravimą ir pateikiamos instrukcijos, kaip susisiekti su užpuolikais el. paštu („kyjpc@cock.li“ arba „kyjpc@mailum.com“) arba per „Telegram“ adresu „@kyjpc“, kad gautų mokėjimo instrukcijas. Laiške taip pat primygtinai rekomenduojama nepervadinti užšifruotų failų ir nenaudoti trečiųjų šalių iššifravimo įrankių, nes gali būti sugadinti duomenys arba padidėti išpirkos reikalavimai.
Atkaklumas ir sistemos sabotažo taktika
„Kyj Ransomware“ ne tik šifruoja failus, bet ir imasi veiksmų, kad užtikrintų savo buvimą ir neleistų jų atkurti. Ji įsirašo į katalogą %LOCALAPPDATA% ir nustato registro įrašus „Windows“ vykdymo raktuose, kad būtų išsaugoti po sistemos paleidimo iš naujo. Ji taip pat išjungia sistemos užkardą ir ištrina šešėlines kopijas, kurios dažnai naudojamos failams atkurti, efektyviai panaikindama aukos galimybę atkurti savo sistemą be išorinės pagalbos.
Įdomu tai, kad kenkėjiška programa renka geolokacijos duomenis ir vengia vykdyti konkrečiuose regionuose – tai taktika, kurią kibernetiniai nusikaltėliai dažnai naudoja norėdami apeiti vietos teisėsaugos jurisdikcijas arba išvengti poveikio savo gimtosioms šalims.
Infekcijos vektoriai: kaip plinta Kyj
Dažniausias „Kyj Ransomware“ įsilaužimo taškas yra per nesaugias nuotolinio darbalaukio protokolo (RDP) paslaugas. Grėsmių kūrėjai dažnai naudoja silpnus RDP prisijungimo duomenis, kad gautų prieigą prie sistemų – taktika, kuri yra glaudžiai siejama su „Dharma“ variantais. Tačiau „Kyj“ taip pat gali įsiskverbti į įrenginius įprastesniais būdais, tokiais kaip:
- Sukčiavimo el. laiškai su kenkėjiškomis nuorodomis ar priedais
- Netikrų programų nulaužimai, kodų generatoriai ir piratinės programos
- Automatiniai atsisiuntimai iš kenkėjiškų ar pažeistų svetainių
- Užkrėsti USB diskai ir išimamos laikmenos
- Lygiaverčių (P2P) tinklai ir trečiųjų šalių atsisiuntimo programos
- Techninės pagalbos sukčiavimas ir klaidinantys iššokantys skelbimai
Kenkėjiška programa gali būti pateikiama įvairiais formatais, įskaitant vykdomuosius failus, scenarijus ir suspaustus archyvus, tokius kaip ZIP arba RAR failai.
Kyj infekcijos požymiai
Ankstyvas išpirkos reikalaujančios programinės įrangos atakos atpažinimas gali būti labai svarbus. Štai keli dažni su Kyj susiję požymiai:
- Failai, pervardyti naudojant .kyj plėtinį ir susijusią kontaktinę informaciją
- „info-kyj.txt“ išpirkos pranešimo ir (arba) iššokančiojo pranešimo pasirodymas
- Negalėjimas atidaryti failų, kurie anksčiau veikė be problemų
- Sistemos sulėtėjimas arba nereaguojančios programos
- Išjungta užkarda arba ištrinti atsarginiai momentiniai failai
- Apsaugos stiprinimas: geriausia saugumo praktika
Apsisauga nuo išpirkos reikalaujančių virusų, tokių kaip „Kyj“, reikalauja daugiasluoksnio, proaktyvaus požiūrio. Vartotojai ir organizacijos turėtų taikyti prevencinių technologijų, saugių įpročių ir atkūrimo strategijų derinį.
Rekomenduojamos saugumo priemonės
Reguliarios atsarginės kopijos : dažnai kurkite svarbių duomenų versijas turinčias atsargines kopijas. Saugokite jas neprisijungę prie interneto arba nuotoliniuose serveriuose, atskirtuose nuo pagrindinio tinklo, kad išpirkos reikalaujančios programinės įrangos negalėtų užšifruoti atsarginių kopijų failų.
Galinių įrenginių apsauga : naudokite patikimą antivirusinę ir kenkėjiškų programų prevencijos programinę įrangą su apsauga realiuoju laiku ir elgesiu pagrįstomis aptikimo galimybėmis.
Išvada
„Kyj Ransomware“ yra galinga ir pavojinga kenkėjiška programa, puikiai atspindinti besivystančią kibernetinių nusikaltėlių taktiką šiandienos grėsmių aplinkoje. Dėl gebėjimo užšifruoti failus, išvengti aptikimo ir išjungti atkūrimo parinktis ji tampa grėsmingu priešininku. Atpažindami jos elgesį ir įgyvendindami tvirtas kibernetinio saugumo praktikas, vartotojai gali gerokai sumažinti riziką ir pasiruošti veiksmingai reaguoti atakos atveju.
Žinutės
Rasti šie pranešimai, susiję su Kyj išpirkos reikalaujanti programa:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: kyjpc@cock.li YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:kyjpc@mailum.com k y j encrypted TELEGRAM: @kyjpc Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email kyjpc@cock.li or kyjpc@mailum.com or @kyjpc |
