Jkwerlo Ransomware
Jkwerlo je identifikován jako nebezpečný program spadající do kategorie ransomware. Jeho primární funkce se točí kolem šifrování dat a následného vyžadování platby výměnou za dešifrování. Na rozdíl od mnoha jiných variant ransomwaru, které obvykle mění názvy zamčených souborů přidáním přípon, se Jkwerlo odlišuje tím, že se zdrží úprav původních názvů dotčených souborů. Po dokončení procesu šifrování tento konkrétní ransomware vygeneruje výkupné s názvem „IMPORTANT_README.txt“. Poznámka útočníkům slouží jako prostředek ke komunikaci s obětí, nastiňuje podmínky pro platbu výkupného a poskytuje pokyny, jak pokračovat v procesu dešifrování.
Jkwerlo Ransomware zobrazuje sofistikované škodlivé funkce
Jkwerlo vyniká jako sofistikovaný ransomware kmen a předvádí úroveň složitosti svých operací. Pozoruhodné bylo, že se zaměřuje na uživatele, kteří komunikují ve španělštině a francouzštině. Útoky využívají odlišné infekční řetězce, z nichž každý je charakterizován různou úrovní složitosti.
Při infiltraci do systémů se Jkwerlo obvykle objevuje ve formě relativně kompaktního spustitelného souboru o velikosti od 5 do 6 MB, chytře maskovaného ikonou dokumentu PDF. Malware se při provádění svých ohrožujících činností silně spoléhá na příkazy PowerShellu, což projevuje všestrannost při provádění řady příkazů.
Jednou z pozoruhodných vlastností Jkwerlo je jeho schopnost ukončit procesy, zejména ty spojené s aktivně otevřenými soubory, jako jsou databázové programy a čtečky textových souborů. Tím se ransomware strategicky vyhýbá výjimkám ze šifrování, které mohou vzniknout ze souborů považovaných za „používané“. Kromě toho program přijímá další opatření ke zvýšení svého dopadu, jako je smazání stínových kopií svazku, čímž se eliminuje potenciální cesta k obnově.
Jkwerlo ve své snaze o vytrvalost a úniky upravuje Boot Configuration Data (BCD) a deaktivuje klíčové bezpečnostní komponenty, jako je Microsoft Defender Antivirus, včetně kontrolovaného přístupu ke složkám. Kromě toho se pokouší odstranit spustitelné soubory pro Správce úloh (Taskmgr.exe) a Sledování zdrojů (Resmon.exe), což dále komplikuje úsilí o zmírnění a detekci pro bezpečnostní profesionály. Tento mnohostranný přístup podtrhuje propracovanost ransomwaru a zvyšuje význam robustních opatření kybernetické bezpečnosti, aby se zabránilo jeho škodlivým aktivitám.
Jkwerlo Ransomware se snaží ze svých obětí vymámit výkupné
Výkupné Jkwerlo výslovně sděluje, že soubory, které byly znepřístupněny, prošly šifrováním, což varuje před jakýmikoli pokusy o ruční dešifrování kvůli riziku, že se data stanou nenapravitelnými. Klíč k obnově těchto souborů spočívá v držení dešifrovacího klíče, což je klíčová součást zabezpečená útočníky. K získání tohoto klíče jsou oběti nuceny zaplatit výkupné. Jakmile jsou finanční prostředky převedeny, kyberzločinci zajistí dodání dešifrovacích nástrojů a doprovodných pokynů do 24 hodin.
Navzdory těmto slibům výzkumníci informační bezpečnosti zdůrazňují obecnou nemožnost dešifrování bez přímého zapojení kyberzločinců. Případy, kdy je dešifrování proveditelné, obvykle zahrnují hluboce chybný ransomware, což je vzácnost.
Kromě toho se oběti často ocitají bez nezbytných klíčů nebo nástrojů k dešifrování jejich dat, a to i po splnění požadavků na výkupné. V důsledku toho odborníci důrazně nedoporučují podlehnout těmto požadavkům a zdůrazňují nedostatek jistoty v úspěšném obnovení souboru a nezamýšlenou podporu kriminálních aktivit prostřednictvím plateb výkupného.
I když je odstranění ransomwaru z operačního systému nezbytným krokem k zabránění dalšímu šifrování dat, je nutné si uvědomit, že samotné odstranění automaticky neobnoví již postižené soubory. Doporučeným řešením v takových případech je zahájit obnovu souboru z dříve vytvořené zálohy, pokud taková existuje a je uložena na samostatném a bezpečném místě. Tento přístup zajišťuje spolehlivější a efektivnější způsob obnovy dat bez udržování koloběhu plateb výkupného a trestné činnosti.
Výkupné generované Jkwerlo Ransomware je:
'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.
When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.
Contact to recover the files:'
Španělská varianta výkupného je:
'Hola,
Consulte la información vital que he compartido con usted mediante Google Drive.
Abra el archivo para ver los detalles.
Saludos.
AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.
Por favor considere el medio ambiente antes de imprimir este e-mail.'
Existuje také francouzská varianta Jkwerlovy výkupné:
'Bonjour,
Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.
Ouvrez le fichier pour afficher les détails.
Salutations.
AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.
Pensez à l'environnement avant d'imprimer cet e-mail.'
