باج افزار Jkwerlo

Jkwerlo به عنوان یک برنامه ناامن شناخته می شود که در دسته باج افزارها قرار می گیرد. عملکرد اصلی آن حول رمزگذاری داده ها و متعاقباً درخواست پرداخت در ازای رمزگشایی می چرخد. بر خلاف بسیاری از انواع باج افزارهای دیگر که معمولاً عنوان فایل های قفل شده را با افزودن پسوندها تغییر می دهند، Jkwerlo با خودداری از تغییر نام اصلی فایل های آسیب دیده، خود را متمایز می کند. پس از تکمیل فرآیند رمزگذاری، این باج افزار خاص یک یادداشت باج با عنوان "IMPORTANT_README.txt" تولید می کند. این یادداشت به عنوان ابزاری برای مهاجمان برای برقراری ارتباط با قربانی عمل می‌کند و شرایط و ضوابط پرداخت باج را مشخص می‌کند و دستورالعمل‌هایی را درباره نحوه ادامه فرآیند رمزگشایی ارائه می‌دهد.

باج افزار Jkwerlo عملکردهای مضر پیچیده ای را نمایش می دهد

Jkwerlo به عنوان یک نوع باج افزار پیچیده متمایز است و سطحی از پیچیدگی را در عملیات خود به نمایش می گذارد. قابل ذکر است، مشاهده شده است که کاربرانی را که به زبان های اسپانیایی و فرانسوی ارتباط برقرار می کنند، هدف قرار می دهد. این حملات از زنجیره های عفونت مجزا استفاده می کنند که هر کدام با سطوح مختلف پیچیدگی مشخص می شوند.

هنگامی که به سیستم‌ها نفوذ می‌کند، Jkwerlo معمولاً به شکل یک فایل اجرایی نسبتا جمع‌وجور، از 5 تا 6 مگابایت، که هوشمندانه با نماد سند PDF پنهان شده است، وارد می‌شود. این بدافزار برای انجام فعالیت های تهدیدآمیز خود به شدت به دستورات PowerShell متکی است و در اجرای طیف وسیعی از دستورات تطبیق پذیری نشان می دهد.

یکی از ویژگی های قابل توجه Jkwerlo توانایی آن در خاتمه دادن به فرآیندها، به ویژه آنهایی است که با فایل های فعال باز شده مرتبط هستند، مانند برنامه های پایگاه داده و خواننده های فایل متنی. با انجام این کار، باج‌افزار به‌طور استراتژیک از معافیت‌های رمزگذاری که ممکن است از فایل‌هایی که «در حال استفاده» در نظر گرفته می‌شوند ناشی شوند، اجتناب می‌کند. علاوه بر این، برنامه اقدامات اضافی را برای افزایش تأثیر خود انجام می دهد، مانند حذف کپی های حجم سایه، حذف یک راه بالقوه برای بازیابی.

Jkwerlo در تلاش برای تداوم و طفره رفتن، داده‌های پیکربندی بوت (BCD) را تغییر می‌دهد و مؤلفه‌های امنیتی حیاتی مانند آنتی‌ویروس Microsoft Defender، از جمله دسترسی به پوشه کنترل‌شده را غیرفعال می‌کند. علاوه بر این، تلاش می‌کند تا فایل‌های اجرایی را برای Task Manager (Taskmgr.exe) و Resource Monitor (Resmon.exe) حذف کند، که تلاش‌های کاهش و شناسایی را برای متخصصان امنیتی پیچیده‌تر می‌کند. این رویکرد چند وجهی بر پیچیدگی باج‌افزار تأکید می‌کند و اهمیت اقدامات امنیتی سایبری قوی برای مقابله با فعالیت‌های مضر آن را افزایش می‌دهد.

باج افزار Jkwerlo سعی می کند از قربانیان خود باج بگیرد

یادداشت باج‌گیری Jkwerlo به صراحت اعلام می‌کند که فایل‌های غیرقابل دسترسی تحت رمزگذاری قرار گرفته‌اند، و در مورد هرگونه تلاش برای رمزگشایی دستی به دلیل خطر غیرقابل بازیابی داده‌ها هشدار می‌دهد. کلید بازیابی این فایل ها در اختیار داشتن کلید رمزگشایی است، یک جزء مهم که توسط مهاجمان محافظت می شود. برای به دست آوردن این کلید، قربانیان مجبور به پرداخت باج هستند. پس از انتقال وجوه، مجرمان سایبری اطمینان حاصل می کنند که ابزارهای رمزگشایی و دستورالعمل های همراه را در یک بازه زمانی 24 ساعته تحویل می دهند.

علیرغم این وعده ها، محققان امنیت اطلاعات بر عدم امکان عمومی رمزگشایی بدون دخالت مستقیم مجرمان سایبری تاکید می کنند. مواردی که رمزگشایی امکان‌پذیر است، معمولاً شامل باج‌افزارهای عمیقاً ناقص است که نادر است.

علاوه بر این خطرات، قربانیان اغلب خود را بدون کلید یا ابزار لازم برای رمزگشایی داده‌های خود، حتی پس از انجام درخواست‌های باج می‌بینند. در نتیجه، کارشناسان به شدت از تسلیم شدن در برابر این خواسته‌ها جلوگیری می‌کنند و بر عدم اطمینان در بازیابی موفق پرونده و حمایت ناخواسته از فعالیت‌های مجرمانه از طریق پرداخت باج تأکید می‌کنند.

در حالی که حذف باج افزار از سیستم عامل یک گام ضروری برای جلوگیری از رمزگذاری بیشتر داده ها است، توجه به این نکته ضروری است که حذف به تنهایی فایل هایی را که قبلاً تحت تأثیر قرار گرفته اند به طور خودکار بازیابی نمی کند. راه حل پیشنهادی در چنین مواردی شروع بازیابی فایل از یک نسخه پشتیبان ایجاد شده قبلی است، به شرطی که وجود داشته باشد و در مکانی جداگانه و امن ذخیره شود. این رویکرد ابزار قابل اعتمادتر و مؤثرتری برای بازیابی داده ها را بدون تداوم چرخه پرداخت باج و فعالیت های مجرمانه تضمین می کند.

یادداشت باج تولید شده توسط باج افزار Jkwerlo به شرح زیر است:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

نوع اسپانیایی یادداشت باج:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

همچنین یک نوع فرانسوی زبان از یادداشت باج خواهی Jkwerlo وجود دارد:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'