Phần mềm tống tiền Kyj
Trong bối cảnh kỹ thuật số ngày nay, nơi các doanh nghiệp và cá nhân phụ thuộc rất nhiều vào tính khả dụng của dữ liệu, mối đe dọa của ransomware đã trở thành một thế lực dai dẳng và gây thiệt hại. Kyj Ransomware, một chủng loại từ họ Dharma khét tiếng, đại diện cho một rủi ro an ninh mạng nghiêm trọng, có khả năng mã hóa các tệp quan trọng, phá vỡ hoạt động và giữ dữ liệu có giá trị làm con tin. Hiểu cách thức hoạt động của ransomware này và triển khai các biện pháp bảo mật chủ động là những bước thiết yếu để giảm thiểu thiệt hại và giảm khả năng bị nhiễm.
Mục lục
Vạch mặt Kyj Ransomware
Kyj Ransomware là một phần của họ ransomware Dharma, một dòng dõi nổi tiếng chịu trách nhiệm cho nhiều chiến dịch phá hoại. Sau khi thực thi trên hệ thống mục tiêu, Kyj ngay lập tức bắt đầu mã hóa các tệp trên cả ổ đĩa cục bộ và các vị trí mạng được chia sẻ. Nó sửa đổi tên tệp bằng cách thêm ID nạn nhân duy nhất, địa chỉ email liên hệ và phần mở rộng '.kyj'. Ví dụ: một tệp như '1.png' được đổi tên thành '1.png.id-9ECFA84E-KYJ.[kyjpc@cock.li].kyj.'
Nạn nhân được cung cấp hai ghi chú đòi tiền chuộc—một là cửa sổ bật lên và một được lưu dưới dạng tệp văn bản có tên 'info-kyj.txt'. Những ghi chú này thông báo cho nạn nhân về mã hóa và cung cấp hướng dẫn liên hệ với kẻ tấn công qua email ('kyjpc@cock.li' hoặc 'kyjpc@mailum.com') hoặc Telegram tại '@kyjpc' để biết hướng dẫn thanh toán. Thông báo cũng khuyến cáo mạnh mẽ không nên đổi tên tệp được mã hóa hoặc sử dụng các công cụ giải mã của bên thứ ba, dưới mối đe dọa làm hỏng dữ liệu hoặc tăng yêu cầu đòi tiền chuộc.
Chiến thuật kiên trì và phá hoại hệ thống
Kyj Ransomware không chỉ mã hóa các tệp, mà còn thực hiện các bước để đảm bảo sự hiện diện của tệp và ngăn chặn việc khôi phục. Nó tự cài đặt trong thư mục %LOCALAPPDATA% và đặt các mục đăng ký trong khóa Windows Run để duy trì tính bền bỉ trong suốt quá trình khởi động lại hệ thống. Nó cũng vô hiệu hóa tường lửa hệ thống và xóa các Bản sao bóng khối lượng, thường được sử dụng để khôi phục tệp, về cơ bản loại bỏ khả năng khôi phục hệ thống của nạn nhân mà không cần trợ giúp bên ngoài.
Điều thú vị là phần mềm độc hại này thu thập dữ liệu địa lý và tránh thực hiện ở các khu vực cụ thể, một chiến thuật thường được tội phạm mạng sử dụng để vượt qua quyền hạn của cơ quan thực thi pháp luật địa phương hoặc tránh ảnh hưởng đến quốc gia của chúng.
Các vectơ lây nhiễm: Kyj lây lan như thế nào
Điểm vào phổ biến nhất của Kyj Ransomware là thông qua các dịch vụ Remote Desktop Protocol (RDP) không an toàn. Các tác nhân đe dọa thường dùng brute-force để truy cập vào hệ thống, một chiến thuật có liên quan chặt chẽ đến các biến thể Dharma. Tuy nhiên, Kyj cũng có thể xâm nhập vào các thiết bị thông qua các phương tiện thông thường hơn, chẳng hạn như:
- Email lừa đảo có liên kết hoặc tệp đính kèm độc hại
- Phần mềm giả mạo, keygen và chương trình lậu
- Tải xuống từ các trang web độc hại hoặc bị xâm phạm
- Ổ đĩa USB và phương tiện di động bị nhiễm
- Mạng ngang hàng (P2P) và trình tải xuống của bên thứ ba
- Lừa đảo hỗ trợ kỹ thuật và quảng cáo pop-up lừa đảo
Phần mềm độc hại có thể được phát tán ở nhiều định dạng khác nhau, bao gồm tệp thực thi, tập lệnh và tệp nén như tệp ZIP hoặc RAR.
Dấu hiệu của nhiễm trùng Kyj
Việc nhận biết sớm một cuộc tấn công ransomware có thể rất quan trọng. Sau đây là một số chỉ số phổ biến liên quan đến Kyj:
- Các tập tin được đổi tên với phần mở rộng .kyj và thông tin liên hệ liên quan
- Xuất hiện thông báo đòi tiền chuộc info-kyj.txt và/hoặc thông báo bật lên
- Không thể mở các tập tin trước đó hoạt động bình thường
- Hệ thống chậm lại hoặc ứng dụng không phản hồi
- Đã tắt tường lửa hoặc xóa ảnh chụp nhanh sao lưu
- Tăng cường khả năng phòng thủ của bạn: Các biện pháp bảo mật tốt nhất
Để phòng thủ chống lại ransomware như Kyj đòi hỏi một cách tiếp cận chủ động, nhiều lớp. Người dùng và tổ chức nên áp dụng kết hợp các công nghệ phòng ngừa, thói quen an toàn và chiến lược phục hồi.
Biện pháp an ninh được đề xuất
Sao lưu thường xuyên : Duy trì sao lưu thường xuyên, theo phiên bản của dữ liệu quan trọng. Lưu trữ chúng ngoại tuyến hoặc trên các máy chủ từ xa được cô lập khỏi mạng chính để ngăn chặn ransomware mã hóa các tệp sao lưu.
Bảo vệ điểm cuối : Sử dụng phần mềm diệt vi-rút và phần mềm độc hại có uy tín với khả năng bảo vệ theo thời gian thực và phát hiện dựa trên hành vi.
Phần kết luận
Kyj Ransomware là một phần mềm độc hại mạnh mẽ và nguy hiểm, minh họa cho các chiến thuật đang phát triển của tội phạm mạng trong bối cảnh đe dọa ngày nay. Khả năng mã hóa tệp, tránh bị phát hiện và vô hiệu hóa các tùy chọn khôi phục khiến nó trở thành một kẻ thù đáng gờm. Bằng cách nhận ra hành vi của nó và triển khai các biện pháp an ninh mạng mạnh mẽ, người dùng có thể giảm đáng kể rủi ro và chuẩn bị ứng phó hiệu quả nếu xảy ra tấn công.
tin nhắn
Các thông báo sau được liên kết với Phần mềm tống tiền Kyj đã được tìm thấy:
|
All your files have been encrypted! Don't worry, you can return all your files! If you want to restore them, write to the mail: kyjpc@cock.li YOUR ID - If you have not answered by mail within 12 hours, write to us by another mail:kyjpc@mailum.com k y j encrypted TELEGRAM: @kyjpc Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. |
|
all your data has been locked us You want to return? write email kyjpc@cock.li or kyjpc@mailum.com or @kyjpc |
