Jkwerlo Ransomware
Jkwerlo on tunnistettu vaaralliseksi ohjelmaksi, joka kuuluu kiristysohjelmien luokkaan. Sen ensisijainen toiminto pyörii tietojen salaamisessa ja sen jälkeen maksun vaatimisessa vastineeksi salauksen purkamisesta. Toisin kuin monet muut kiristysohjelmaversiot, jotka tyypillisesti muuttavat lukittujen tiedostojen otsikoita liittämällä niihin laajennuksia, Jkwerlo erottuu siitä, että se pidättäytyy muuttamasta kyseisten tiedostojen alkuperäisiä nimiä. Salausprosessin päätyttyä tämä erityinen kiristysohjelma luo lunnaita koskevan huomautuksen nimeltä "IMPORTANT_README.txt". Muistiinpano toimii välineenä, jolla hyökkääjät voivat kommunikoida uhrin kanssa, ja siinä esitetään lunnaiden maksun ehdot ja ohjeet salauksen purkamiseen.
Jkwerlo Ransomware näyttää kehittyneitä haitallisia toimintoja
Jkwerlo erottuu edukseen kehittyneenä lunnasohjelmakannana, joka osoittaa toimintojensa monimutkaisuuden. Erityisesti sen on havaittu kohdistuvan käyttäjiin, jotka kommunikoivat espanjaksi ja ranskaksi. Hyökkäyksissä käytetään erillisiä tartuntaketjuja, joista jokaiselle on ominaista erilainen monimutkaisuus.
Kun Jkwerlo tunkeutuu järjestelmiin, se saapuu tyypillisesti suhteellisen pienikokoisena suoritettavana tiedostona, jonka koko on 5–6 megatavua ja joka on taitavasti naamioitu PDF-dokumenttikuvakkeella. Haittaohjelma luottaa voimakkaasti PowerShell-komentoihin uhkaavien toimintojensa suorittamisessa, ja se on monipuolinen useiden komentojen suorittamisessa.
Yksi Jkwerlon huomionarvoinen ominaisuus on sen kyky lopettaa prosesseja, erityisesti ne, jotka liittyvät aktiivisesti avattuihin tiedostoihin, kuten tietokantaohjelmiin ja tekstitiedostojen lukuohjelmiin. Näin tekemällä lunnasohjelma välttää strategisesti salausvapautuksia, jotka voivat johtua "käytössä olevista" tiedostoista. Lisäksi ohjelma toteuttaa lisätoimenpiteitä tehostaakseen sen vaikutusta, kuten poistamalla Shadow Volume -kopiot, mikä eliminoi mahdolliset palautumismahdollisuudet.
Pyrkiessään pysymään ja kiertämään Jkwerlo muokkaa Boot Configuration Dataa (BCD) ja poistaa käytöstä tärkeitä tietoturvakomponentteja, kuten Microsoft Defender Antivirus, mukaan lukien Controlled Folder Access. Lisäksi se yrittää poistaa Task Managerin (Taskmgr.exe) ja Resource Monitorin (Resmon.exe) suoritettavat tiedostot, mikä vaikeuttaa entisestään tietoturva-ammattilaisten lieventämistä ja havaitsemista. Tämä monipuolinen lähestymistapa korostaa kiristysohjelman kehittyneisyyttä ja lisää vankkojen kyberturvallisuustoimenpiteiden merkitystä sen haitallisten toimintojen torjumiseksi.
Jkwerlo Ransomware yrittää kiristää lunnaita uhreiltaan
Jkwerlon lunnaat ilmoittavat nimenomaisesti, että käyttökelvottomiksi tehdyt tiedostot on salattu, ja varoitetaan kaikista manuaalisen salauksen purkamisyrityksistä, koska tiedot muuttuvat mahdottomaksi. Avain näiden tiedostojen palauttamiseen on salauksenpurkuavaimen hallussa, joka on hyökkääjien suojelema tärkeä osa. Saadakseen tämän avaimen uhrit joutuvat maksamaan lunnaita. Kun varat on siirretty, kyberrikolliset takaavat salauksenpurkutyökalujen ja mukana tulevien ohjeiden toimituksen 24 tunnin sisällä.
Lupauksista huolimatta tietoturvatutkijat korostavat salauksen purkamisen yleistä mahdottomuutta ilman kyberrikollisten suoraa osallistumista. Tapauksissa, joissa salauksen purku on mahdollista, liittyy yleensä syvästi virheellisiä kiristysohjelmia, mikä on harvinaista.
Riskien lisäksi uhrit joutuvat usein ilman tarvittavia avaimia tai työkaluja tietojensa salauksen purkamiseen, vaikka he olisivat täyttäneet lunnaita koskevat vaatimukset. Asiantuntijat eivät näin ollen rohkaise antautumasta näihin vaatimuksiin korostaen varmuuden puutetta onnistuneesta tiedostojen palauttamisesta ja rikollisen toiminnan tahatonta tukemista lunnaiden kautta.
Vaikka kiristysohjelman poistaminen käyttöjärjestelmästä on välttämätön vaihe tietojen lisäsalauksen estämiseksi, on tärkeää huomata, että poistaminen ei yksinään palauta tiedostoja, joihin jo vaikuttaa. Suositeltava ratkaisu tällaisissa tapauksissa on käynnistää tiedostojen palautus aiemmin luodusta varmuuskopiosta, mikäli sellainen on olemassa ja tallennettu erilliseen ja suojattuun paikkaan. Tämä lähestymistapa varmistaa luotettavamman ja tehokkaamman tavan palauttaa tietoja ilman, että lunnaiden maksujen ja rikollisen toiminnan kierre jatkuu.
Jkwerlo Ransomwaren luoma lunnaita on:
'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.
When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.
Contact to recover the files:'
Lunnassetelin espanjalainen muunnos on:
'Hola,
Consulte la información vital que he compartido con usted mediante Google Drive.
Abra el archivo para ver los detalles.
Saludos.
AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.
Por favor considere el medio ambiente antes de imprimir este e-mail.'
Jkwerlon lunnaitavasta on myös ranskankielinen versio:
'Bonjour,
Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.
Ouvrez le fichier pour afficher les détails.
Salutations.
AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.
Pensez à l'environnement avant d'imprimer cet e-mail.'
