Izsiljevalska programska oprema Kyj
V današnji digitalni krajini, kjer so podjetja in posamezniki močno odvisni od razpoložljivosti podatkov, je grožnja izsiljevalske programske opreme postala vztrajna in škodljiva sila. Izsiljevalska programska oprema Kyj, sev iz zloglasne družine Dharma, predstavlja resno tveganje za kibernetsko varnost, saj lahko šifrira kritične datoteke, moti delovanje in zadrži dragocene podatke kot talce. Razumevanje delovanja te izsiljevalske programske opreme in izvajanje proaktivnih varnostnih ukrepov sta bistvena koraka za zmanjšanje škode in verjetnosti okužbe.
Kazalo
Razkrivanje izsiljevalske programske opreme Kyj
Izsiljevalska programska oprema Kyj je del družine izsiljevalskih programov Dharma, znane linije, odgovorne za številne uničujoče kampanje. Ko se izvede v ciljnem sistemu, Kyj takoj začne šifrirati datoteke na lokalnih diskih in v skupnih omrežnih lokacijah. Imena datotek spremeni tako, da jim doda enolični ID žrtve, kontaktni e-poštni naslov in končnico '.kyj'. Na primer, datoteka, kot je '1.png', se preimenuje v '1.png.id-9ECFA84E-KYJ.[kyjpc@cock.li].kyj.'
Žrtvam se prikažeta dve obvestili o odkupnini – eno kot pojavno okno in drugo, shranjeno kot besedilna datoteka z imenom »info-kyj.txt«. Ti obvestili žrtev obvestita o šifriranju in ji dajo navodila, kako se obrniti na napadalce po e-pošti (»kyjpc@cock.li« ali »kyjpc@mailum.com«) ali prek Telegrama na »@kyjpc« za navodila za plačilo. Sporočilo tudi močno odsvetuje preimenovanje šifriranih datotek ali uporabo orodij za dešifriranje tretjih oseb, saj lahko to povzroči poškodbo podatkov ali povečane zahteve za odkupnino.
Vztrajnost in taktike sabotaže sistema
Izsiljevalska programska oprema Kyj ne šifrira samo datotek, temveč tudi ukrepa za zagotovitev svoje prisotnosti in preprečitev obnovitve. Namesti se v imenik %LOCALAPPDATA% in nastavi vnose v register v ključih programa Windows Run, da doseže obstojnost med ponovnimi zagoni sistema. Prav tako onemogoči požarni zid sistema in izbriše senčne kopije nosilca podatkov, ki se pogosto uporabljajo za obnovitev datotek, s čimer žrtvi učinkovito onemogoči obnovitev sistema brez zunanje pomoči.
Zanimivo je, da zlonamerna programska oprema zbira podatke o geolokaciji in se izogiba izvajanju v določenih regijah, kar je taktika, ki jo kibernetski kriminalci pogosto uporabljajo za izogibanje lokalnim pristojnostim organov pregona ali za preprečevanje vpliva na svoje matične države.
Prenašalci okužbe: Kako se Kyj širi
Najpogostejša vstopna točka za izsiljevalsko programsko opremo Kyj so nezaščitene storitve protokola oddaljenega namizja (RDP). Grožnje pogosto uporabljajo šibke poverilnice RDP za dostop do sistemov, kar je taktika, ki je močno povezana z različicami Dharma. Vendar pa se Kyj lahko infiltrira v naprave tudi na bolj konvencionalne načine, kot so:
- Lažna e-poštna sporočila z zlonamernimi povezavami ali prilogami
- Lažne programske razpoke, generatorji ključev in piratski programi
- Prenosi s strani uporabnikov z zlonamernih ali ogroženih spletnih mest
- Okuženi USB-ključki in odstranljivi mediji
- Omrežja enakovrednih uporabnikov (P2P) in programi za prenos datotek tretjih oseb
- Prevare s tehnično podporo in zavajajoči pojavni oglasi
Zlonamerna programska oprema se lahko dostavi v različnih oblikah, vključno z izvedljivimi datotekami, skriptami in stisnjenimi arhivi, kot so datoteke ZIP ali RAR.
Znaki okužbe s Kyjem
Zgodnje prepoznavanje napada izsiljevalske programske opreme je lahko ključnega pomena. Tukaj je nekaj pogostih kazalnikov, povezanih s Kyj:
- Datoteke, preimenovane s končnico .kyj, in povezani kontaktni podatki
- Videz obvestila o odkupnini info-kyj.txt in/ali pojavnega sporočila
- Nezmožnost odpiranja datotek, ki so prej delovale brez težav
- Upočasnitev sistema ali neodzivne aplikacije
- Onemogočen požarni zid ali izbrisani posnetki varnostnih kopij
- Krepitev vaše obrambe: najboljše varnostne prakse
Obramba pred izsiljevalsko programsko opremo, kot je Kyj, zahteva večplasten, proaktiven pristop. Uporabniki in organizacije bi morali sprejeti kombinacijo preventivnih tehnologij, varnih navad in strategij obnovitve.
Priporočeni varnostni ukrepi
Redne varnostne kopije : Vzdržujte pogoste varnostne kopije pomembnih podatkov z določenimi različicami. Shranite jih brez povezave ali na oddaljenih strežnikih, izoliranih od glavnega omrežja, da preprečite šifriranje datotek varnostnih kopij s strani izsiljevalske programske opreme.
Zaščita končnih točk : Uporabljajte ugledno protivirusno in protizlonamerno programsko opremo z zaščito v realnem času in zmogljivostmi zaznavanja na podlagi vedenja.
Zaključek
Izsiljevalska programska oprema Kyj je močna in nevarna zlonamerna programska oprema, ki ponazarja razvijajoče se taktike kibernetskih kriminalcev v današnjem okolju groženj. Zaradi svoje sposobnosti šifriranja datotek, izogibanja odkrivanju in onemogočanja možnosti obnovitve je močan nasprotnik. Z prepoznavanjem njenega vedenja in izvajanjem robustnih praks kibernetske varnosti lahko uporabniki znatno zmanjšajo tveganje in se pripravijo na učinkovit odziv v primeru napada.
Sporočila
Najdena so bila naslednja sporočila, povezana z Izsiljevalska programska oprema Kyj:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: kyjpc@cock.li YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:kyjpc@mailum.com k y j encrypted TELEGRAM: @kyjpc Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email kyjpc@cock.li or kyjpc@mailum.com or @kyjpc |
