Jkwerlo الفدية

تم تعريف Jkwerlo على أنه برنامج غير آمن يندرج ضمن فئة برامج الفدية. تدور وظيفتها الأساسية حول تشفير البيانات ومن ثم المطالبة بالدفع مقابل فك التشفير. على عكس العديد من متغيرات برامج الفدية الأخرى التي عادةً ما تغير عناوين الملفات المقفلة عن طريق إلحاق الامتدادات، فإن Jkwerlo يميز نفسه عن طريق الامتناع عن تعديل الأسماء الأصلية للملفات المتأثرة. عند الانتهاء من عملية التشفير، يقوم برنامج الفدية هذا بإنشاء مذكرة فدية بعنوان 'IMPORTANT_README.txt'. تعمل المذكرة كوسيلة للمهاجمين للتواصل مع الضحية، مع تحديد الشروط والأحكام الخاصة بدفع الفدية وتقديم إرشادات حول كيفية متابعة عملية فك التشفير.

يعرض برنامج Jkwerlo Ransomware وظائف ضارة متطورة

تبرز Jkwerlo باعتبارها سلالة متطورة من برامج الفدية، حيث تعرض مستوى من التعقيد في عملياتها. والجدير بالذكر أنه لوحظ استهداف المستخدمين الذين يتواصلون باللغتين الإسبانية والفرنسية. تستخدم الهجمات سلاسل عدوى متميزة، تتميز كل منها بمستويات مختلفة من التعقيد.

عند اختراق الأنظمة، يصل Jkwerlo عادةً في شكل ملف قابل للتنفيذ مضغوط نسبيًا، يتراوح حجمه من 5 إلى 6 ميغابايت، متخفيًا بذكاء مع أيقونة مستند PDF. وتعتمد البرمجيات الخبيثة بشكل كبير على أوامر PowerShell لتنفيذ أنشطتها التهديدية، مما يظهر تنوعًا في تنفيذ مجموعة من الأوامر.

إحدى الميزات البارزة في Jkwerlo هي قدرته على إنهاء العمليات، خاصة تلك المرتبطة بالملفات المفتوحة بشكل نشط، مثل برامج قواعد البيانات وقارئات الملفات النصية. ومن خلال القيام بذلك، يتجنب برنامج الفدية بشكل استراتيجي استثناءات التشفير التي قد تنشأ من الملفات التي تعتبر "قيد الاستخدام". علاوة على ذلك، يتخذ البرنامج تدابير إضافية لتعزيز تأثيره، مثل حذف نسخ مجلد الظل، مما يؤدي إلى القضاء على أي وسيلة محتملة للاسترداد.

في سعيه لتحقيق المثابرة والمراوغة، يقوم Jkwerlo بتعديل بيانات تكوين التمهيد (BCD)، مما يؤدي إلى تعطيل مكونات الأمان المهمة مثل Microsoft Defender Antivirus، بما في ذلك التحكم في الوصول إلى المجلدات. بالإضافة إلى ذلك، فإنه يحاول حذف الملفات التنفيذية لإدارة المهام (Taskmgr.exe) ومراقبة الموارد (Resmon.exe)، مما يزيد من تعقيد جهود التخفيف والكشف لمتخصصي الأمن. يؤكد هذا النهج متعدد الأوجه على مدى تعقيد برامج الفدية ويعزز أهمية تدابير الأمن السيبراني القوية لمواجهة أنشطتها الضارة.

يحاول Jkwerlo Ransomware ابتزاز دفع الفدية من ضحاياه

تشير مذكرة فدية Jkwerlo صراحةً إلى أن الملفات التي يتعذر الوصول إليها قد خضعت للتشفير، مع التحذير من أي محاولات لفك التشفير يدويًا بسبب خطر جعل البيانات غير قابلة للاسترجاع. ويكمن مفتاح استعادة هذه الملفات في امتلاك مفتاح فك التشفير، وهو عنصر حاسم يحميه المهاجمون. للحصول على هذا المفتاح، يضطر الضحايا إلى دفع فدية. بمجرد تحويل الأموال، يضمن مجرمو الإنترنت تسليم أدوات فك التشفير والتعليمات المصاحبة لها خلال إطار زمني مدته 24 ساعة.

وعلى الرغم من هذه الوعود، يؤكد الباحثون في مجال أمن المعلومات على الاستحالة العامة لفك التشفير دون المشاركة المباشرة لمجرمي الإنترنت. عادةً ما تشتمل الحالات التي يكون فيها فك التشفير ممكنًا على برامج فدية معيبة للغاية، وهو أمر نادر.

ومما يضاعف المخاطر أن الضحايا غالبًا ما يجدون أنفسهم بدون المفاتيح أو الأدوات اللازمة لفك تشفير بياناتهم، حتى بعد الامتثال لطلبات الفدية. وبالتالي، لا يشجع الخبراء بشدة على الخضوع لهذه المطالب، ويؤكدون على عدم وجود ضمانات في استعادة الملفات بنجاح والدعم غير المقصود للأنشطة الإجرامية من خلال دفع الفدية.

على الرغم من أن إزالة برنامج الفدية من نظام التشغيل يعد خطوة ضرورية لمنع المزيد من تشفير البيانات، فمن الضروري ملاحظة أن الإزالة وحدها لا تؤدي تلقائيًا إلى استعادة الملفات المتضررة بالفعل. الحل الموصى به في مثل هذه الحالات هو بدء استرداد الملف من نسخة احتياطية تم إنشاؤها مسبقًا، بشرط وجود نسخة احتياطية وتخزينها في مكان منفصل وآمن. ويضمن هذا النهج وسيلة أكثر موثوقية وفعالية لاستعادة البيانات دون إدامة دورة دفع الفدية والنشاط الإجرامي.

مذكرة الفدية التي تم إنشاؤها بواسطة Jkwerlo Ransomware هي:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

النسخة الإسبانية من مذكرة الفدية هي:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

هناك أيضًا نسخة باللغة الفرنسية من مذكرة فدية Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'