Jkwerlo рансъмуер

Jkwerlo е идентифициран като опасна програма, попадаща в категорията рансъмуер. Основната му функционалност се върти около криптиране на данни и впоследствие изискване на плащане в замяна на декриптиране. За разлика от много други варианти на ransomware, които обикновено променят заглавията на заключените файлове чрез добавяне на разширения, Jkwerlo се отличава с това, че се въздържа от промяна на оригиналните имена на засегнатите файлове. След завършване на процеса на криптиране, този конкретен ransomware генерира бележка за откуп, озаглавена „IMPORTANT_README.txt“. Бележката служи като средство за комуникация на нападателите с жертвата, очертавайки реда и условията за плащане на откупа и предоставяйки инструкции как да продължите с процеса на дешифриране.

Рансъмуерът Jkwerlo показва сложни вредни функции

Jkwerlo се откроява като сложен ransomware щам, демонстриращ ниво на сложност в своите операции. За отбелязване е, че се насочва към потребители, които комуникират на испански и френски. Атаките използват различни вериги на заразяване, всяка от които се характеризира с различни нива на сложност.

Когато прониква в системи, Jkwerlo обикновено пристига под формата на относително компактен изпълним файл, вариращ от 5 до 6 мегабайта, умело прикрит с икона на PDF документ. Злонамереният софтуер силно разчита на команди на PowerShell, за да извършва своите заплашителни дейности, показвайки гъвкавост при изпълнение на набор от команди.

Една забележителна характеристика на Jkwerlo е способността му да прекратява процеси, особено тези, свързани с активно отворени файлове, като програми за бази данни и четци на текстови файлове. Правейки това, рансъмуерът стратегически избягва изключения за криптиране, които могат да възникнат от файлове, считани за „в употреба“. Освен това програмата предприема допълнителни мерки за подобряване на въздействието си, като например изтриване на копията на скритите томове, елиминирайки потенциален път за възстановяване.

В стремежа си за постоянство и избягване, Jkwerlo модифицира данните за конфигурация на зареждане (BCD), деактивирайки важни компоненти за сигурност като Microsoft Defender Antivirus, включително контролиран достъп до папки. Освен това, той се опитва да изтрие изпълнимите файлове за диспечера на задачите (Taskmgr.exe) и монитора на ресурсите (Resmon.exe), което допълнително усложнява усилията за смекчаване и откриване на специалистите по сигурността. Този многостранен подход подчертава сложността на рансъмуера и засилва значението на стабилните мерки за киберсигурност за противодействие на неговите вредни дейности.

Рансъмуерът Jkwerlo се опитва да изнуди плащания за откуп от своите жертви

Бележката за откуп на Jkwerlo изрично съобщава, че файловете, станали недостъпни, са били подложени на криптиране, като се предупреждава срещу всякакви опити за ръчно декриптиране поради риска от превръщане на данните в невъзстановими. Ключът към възстановяването на тези файлове се крие в притежаването на ключа за дешифриране, ключов компонент, защитен от нападателите. За да получат този ключ, жертвите са принудени да платят откуп. След като средствата бъдат прехвърлени, киберпрестъпниците гарантират доставката на инструменти за дешифриране и придружаващи инструкции в рамките на 24 часа.

Въпреки тези обещания, изследователите на информационната сигурност подчертават общата невъзможност за дешифриране без прякото участие на киберпрестъпниците. Случаите, в които дешифрирането е осъществимо, обикновено включват дълбоко повреден рансъмуер, което е рядкост.

Усложнявайки рисковете, жертвите често се оказват без необходимите ключове или инструменти за дешифриране на данните си, дори след като са изпълнили исканията за откуп. Следователно, експертите категорично обезсърчават поддаването на тези изисквания, като подчертават липсата на увереност в успешното възстановяване на файлове и неволната подкрепа за престъпни дейности чрез плащания на откуп.

Въпреки че премахването на рансъмуера от операционната система е необходима стъпка за предотвратяване на по-нататъшно криптиране на данни, важно е да се отбележи, че премахването само по себе си не възстановява автоматично вече засегнатите файлове. Препоръчителното решение в такива случаи е да започнете възстановяване на файл от предварително създаден архив, при условие че такъв съществува и се съхранява на отделно и сигурно място. Този подход осигурява по-надеждни и ефективни средства за възстановяване на данни, без да продължава цикъла от плащания на откупи и престъпна дейност.

Бележката за откуп, генерирана от рансъмуера Jkwerlo, е:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Испанският вариант на бележката за откуп е:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Има и френскоезичен вариант на бележката за откупа на Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'