Jkwerlo Ransomware

Jkwerlo s'identifica com un programa insegur que pertany a la categoria de programari ransom. La seva funcionalitat principal gira al voltant de xifrar dades i, posteriorment, exigir el pagament a canvi del desxifrat. A diferència de moltes altres variants de ransomware que solen alterar els títols dels fitxers bloquejats afegint extensions, Jkwerlo es distingeix per abstenir-se de modificar els noms originals dels fitxers afectats. Un cop finalitzat el procés de xifratge, aquest ransomware en particular genera una nota de rescat titulada "IMPORTANT_README.txt". La nota serveix com a mitjà perquè els atacants es comuniquin amb la víctima, exposant els termes i condicions per al pagament del rescat i proporcionant instruccions sobre com procedir amb el procés de desxifrat.

El Jkwerlo Ransomware mostra funcions perjudicials sofisticades

Jkwerlo destaca com una soca de ransomware sofisticada, que mostra un nivell de complexitat en les seves operacions. En particular, s'ha observat orientat als usuaris que es comuniquen en espanyol i francès. Els atacs utilitzen diferents cadenes d'infecció, cadascuna caracteritzada per diferents nivells de complexitat.

Quan s'infiltra en sistemes, Jkwerlo arriba normalment en forma d'executable relativament compacte, que oscil·la entre 5 i 6 megabytes, intel·ligentment disfressat amb una icona de document PDF. El programari maliciós depèn en gran mesura de les ordres de PowerShell per dur a terme les seves activitats amenaçadores, mostrant versatilitat per executar una sèrie d'ordres.

Una característica notable de Jkwerlo és la seva capacitat per finalitzar processos, especialment els associats amb fitxers oberts activament, com ara programes de bases de dades i lectors de fitxers de text. En fer-ho, el ransomware evita estratègicament les exempcions d'encriptació que poden sorgir dels fitxers considerats "en ús". A més, el programa pren mesures addicionals per millorar el seu impacte, com ara la supressió de les còpies de volum instantània, eliminant una possible via de recuperació.

En la seva recerca de persistència i evasió, Jkwerlo modifica les dades de configuració d'arrencada (BCD), desactivant components de seguretat crucials com Microsoft Defender Antivirus, inclòs l'accés controlat a la carpeta. A més, intenta suprimir els executables per al Gestor de tasques (Taskmgr.exe) i el Monitor de recursos (Resmon.exe), cosa que complica encara més els esforços de mitigació i detecció dels professionals de la seguretat. Aquest enfocament polifacètic subratlla la sofisticació del ransomware i millora la importància de mesures sòlides de ciberseguretat per contrarestar les seves activitats perjudicials.

El Jkwerlo Ransomware intenta extorsionar els pagaments de rescat de les seves víctimes

La nota de rescat de Jkwerlo comunica de manera explícita que els fitxers inaccessibles s'han xifrat, advertint contra qualsevol intent de desxifrat manual a causa del risc de fer que les dades siguin irrecuperables. La clau per recuperar aquests fitxers rau en la possessió de la clau de desxifrat, un component crucial protegit pels atacants. Per obtenir aquesta clau, les víctimes estan obligades a pagar un rescat. Un cop transferits els fons, els ciberdelinqüents asseguren el lliurament d'eines de desxifrat i les instruccions que l'acompanyen en un termini de 24 hores.

Malgrat aquestes promeses, els investigadors en seguretat de la informació subratllen la impossibilitat general del desxifrat sense la implicació directa dels ciberdelinqüents. Les instàncies en què el desxifrat és factible solen incloure un ransomware profundament defectuós, que és una raresa.

Per agreujar els riscos, les víctimes sovint es troben sense les claus o eines necessàries per desxifrar les seves dades, fins i tot després de complir amb les demandes de rescat. En conseqüència, els experts desaconsellen fermament sucumbir a aquestes demandes, posant èmfasi en la manca de seguretat en la recuperació d'arxius amb èxit i el suport no desitjat per a activitats delictives mitjançant el pagament del rescat.

Tot i que l'eliminació del ransomware del sistema operatiu és un pas necessari per evitar un xifrat de dades addicional, és essencial tenir en compte que l'eliminació per si sola no restaura automàticament els fitxers afectats. La solució recomanada en aquests casos és iniciar la recuperació de fitxers des d'una còpia de seguretat creada prèviament, sempre que n'hi hagi una i s'emmagatzemi en una ubicació separada i segura. Aquest enfocament garanteix un mitjà més fiable i eficaç de restauració de dades sense perpetuar el cicle de pagaments de rescat i activitat criminal.

La nota de rescat generada pel Jkwerlo Ransomware és:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

La variant espanyola de la nota de rescat és:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

També hi ha una variant en francès de la nota de rescat de Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'