Jkwerlo Ransomware

Jkwerlo er identificeret som et usikkert program, der falder ind under kategorien ransomware. Dens primære funktionalitet drejer sig om at kryptere data og efterfølgende kræve betaling i bytte for dekryptering. I modsætning til mange andre ransomware-varianter, der typisk ændrer titlerne på låste filer ved at tilføje udvidelser, udmærker Jkwerlo sig ved at afstå fra at ændre de originale navne på de berørte filer. Efter fuldførelse af krypteringsprocessen genererer denne særlige løsesumware en løsesumseddel med titlen 'IMPORTANT_README.txt.' Notatet tjener som et middel for angriberne til at kommunikere med offeret, og skitserer vilkårene og betingelserne for løsesumsbetalingen og giver instruktioner om, hvordan man fortsætter med dekrypteringsprocessen.

Jkwerlo Ransomware viser sofistikerede skadelige funktioner

Jkwerlo skiller sig ud som en sofistikeret ransomware-stamme, der viser et niveau af kompleksitet i dens operationer. Det er især blevet observeret målrettet mod brugere, der kommunikerer på spansk og fransk. Angrebene anvender forskellige infektionskæder, der hver især er karakteriseret ved forskellige niveauer af forviklinger.

Når man infiltrerer systemer, ankommer Jkwerlo typisk i form af en relativt kompakt eksekverbar, der spænder fra 5 til 6 megabyte, smart forklædt med et PDF-dokumentikon. Malwaren er stærkt afhængig af PowerShell-kommandoer til at udføre sine truende aktiviteter, og udviser alsidighed til at udføre en række kommandoer.

Et bemærkelsesværdigt træk ved Jkwerlo er dets evne til at afslutte processer, især dem, der er forbundet med aktivt åbnede filer, såsom databaseprogrammer og tekstfillæsere. Ved at gøre det undgår ransomwaren strategisk krypteringsfritagelser, der kan opstå fra filer, der anses for at være 'i brug'. Desuden træffer programmet yderligere foranstaltninger for at øge dets virkning, såsom at slette Shadow Volume Copies, hvilket eliminerer en potentiel mulighed for genopretning.

I sin søgen efter vedholdenhed og unddragelse ændrer Jkwerlo Boot Configuration Data (BCD) og deaktiverer vigtige sikkerhedskomponenter som Microsoft Defender Antivirus, inklusive kontrolleret mappeadgang. Derudover forsøger den at slette de eksekverbare filer til Task Manager (Taskmgr.exe) og Resource Monitor (Resmon.exe), hvilket yderligere komplicerer afbødnings- og detektionsindsatsen for sikkerhedsprofessionelle. Denne mangefacetterede tilgang understreger ransomwares sofistikerede og øger vigtigheden af robuste cybersikkerhedsforanstaltninger for at modvirke dets skadelige aktiviteter.

Jkwerlo Ransomware forsøger at afpresse løsepengebetalinger fra sine ofre

Jkwerlos løsesumseddel kommunikerer eksplicit, at de filer, der er gjort utilgængelige, har gennemgået kryptering, og advarer mod ethvert forsøg på manuel dekryptering på grund af risikoen for at gøre dataene uigenkaldelige. Nøglen til at gendanne disse filer ligger i besiddelsen af dekrypteringsnøglen, en afgørende komponent beskyttet af angriberne. For at få denne nøgle er ofrene tvunget til at betale en løsesum. Når midlerne er overført, sikrer de cyberkriminelle levering af dekrypteringsværktøjer og medfølgende instruktioner inden for en 24-timers tidsramme.

På trods af disse løfter understreger informationssikkerhedsforskere den generelle umulighed af dekryptering uden direkte involvering af cyberkriminelle. Tilfælde, hvor dekryptering er mulig, involverer normalt dybt mangelfuld ransomware, hvilket er en sjældenhed.

For at forene risiciene, står ofrene ofte uden de nødvendige nøgler eller værktøjer til at dekryptere deres data, selv efter at have overholdt krav om løsesum. Eksperter fraråder derfor kraftigt at give efter for disse krav, idet de understreger manglen på sikkerhed for vellykket filgendannelse og den utilsigtede støtte til kriminelle aktiviteter gennem løsepengebetalinger.

Selvom fjernelse af ransomware fra operativsystemet er et nødvendigt skridt for at forhindre yderligere datakryptering, er det vigtigt at bemærke, at fjernelse alene ikke automatisk gendanner filer, der allerede er berørt. Den anbefalede løsning i sådanne tilfælde er at starte filgendannelse fra en tidligere oprettet sikkerhedskopi, forudsat at en findes og er gemt på en separat og sikker placering. Denne tilgang sikrer et mere pålideligt og effektivt middel til datagendannelse uden at fastholde cyklussen af løsepengebetalinger og kriminel aktivitet.

Løsesedlen genereret af Jkwerlo Ransomware er:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Den spanske variant af løsesumsedlen er:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Der er også en fransksproget variant af Jkwerlos løsesumseddel:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'