Jkwerlo Ransomware

Jkwerlo מזוהה כתוכנית לא בטוחה הנכללת בקטגוריה של תוכנות כופר. הפונקציונליות העיקרית שלו סובבת סביב הצפנת נתונים ובעקבות כך דרישת תשלום בתמורה לפענוח. שלא כמו גרסאות רבות אחרות של תוכנות כופר שמשנות בדרך כלל את הכותרות של קבצים נעולים על ידי הוספת הרחבות, Jkwerlo מבדיל את עצמו בכך שהוא נמנע משינוי השמות המקוריים של הקבצים המושפעים. עם השלמת תהליך ההצפנה, תוכנת הכופר הספציפית הזו מייצרת פתק כופר שכותרתו 'IMPORTANT_README.txt'. השטר משמש כאמצעי לתוקפים לתקשר עם הקורבן, מתאר את התנאים וההגבלות לתשלום הכופר ומספק הנחיות כיצד להמשיך בתהליך הפענוח.

תוכנת הכופר של Jkwerlo מציגה פונקציות מזיקות מתוחכמות

Jkwerlo בולט כזן מתוחכם של תוכנת כופר, המציג רמת מורכבות בפעולותיו. יש לציין כי הוא נצפה מכוון למשתמשים המתקשרים בספרדית ובצרפתית. ההתקפות מפעילות שרשראות זיהום שונות, כל אחת מאופיינת ברמות שונות של מורכבות.

כאשר חודרים למערכות, Jkwerlo מגיע בדרך כלל בצורה של קובץ הפעלה קומפקטי יחסית, הנע בין 5 ל-6 מגה בייט, מוסווה בחוכמה עם סמל מסמך PDF. התוכנה הזדונית מסתמכת במידה רבה על פקודות PowerShell כדי לבצע את הפעילויות המאיימות שלה, ומציגה צדדיות בביצוע מגוון פקודות.

תכונה בולטת אחת של Jkwerlo היא היכולת שלה לסיים תהליכים, במיוחד אלה הקשורים לקבצים שנפתחו באופן פעיל, כגון תוכניות מסד נתונים וקוראי קבצי טקסט. על ידי כך, תוכנת הכופר נמנעת אסטרטגית מפטורי הצפנה שעלולים לנבוע מקבצים הנחשבים 'בשימוש'. יתרה מזאת, התוכנית נוקטת באמצעים נוספים כדי להגביר את השפעתה, כגון מחיקת עותקי ה-Shadow Volume, ביטול דרך פוטנציאלית להתאוששות.

בחיפושיה אחר התמדה והתחמקות, Jkwerlo משנה את נתוני תצורת האתחול (BCD), ומשבית רכיבי אבטחה חיוניים כמו Microsoft Defender Antivirus, כולל גישה מבוקרת לתיקיות. בנוסף, הוא מנסה למחוק את קובצי ההפעלה עבור מנהל המשימות (Taskmgr.exe) ו-Resource Monitor (Resmon.exe), מה שמסבך עוד יותר את מאמצי ההפחתה והזיהוי של אנשי אבטחה. גישה רב-גונית זו מדגישה את התחכום של תוכנת הכופר ומגבירה את החשיבות של אמצעי אבטחת סייבר חזקים כדי לנטרל את הפעילויות הפוגעות שלה.

תוכנת הכופר של Jkwerlo מנסה לסחוט תשלומי כופר מקורבנותיה

פתק הכופר של Jkwerlo מודיע במפורש שהקבצים שהפכו לבלתי נגישים עברו הצפנה, ומזהיר מפני כל ניסיונות לפענוח ידני עקב הסיכון להפוך את הנתונים לבלתי ניתנים לשליפה. המפתח לשחזור קבצים אלה טמון בחזקת מפתח הפענוח, מרכיב חיוני המוגן על ידי התוקפים. כדי להשיג מפתח זה, הקורבנות נאלצים לשלם תשלום כופר. לאחר העברת הכספים, פושעי הסייבר מבטיחים אספקת כלי פענוח והנחיות נלוות בתוך מסגרת זמן של 24 שעות.

למרות ההבטחות הללו, חוקרי אבטחת מידע מדגישים את חוסר האפשרות הכללית של פענוח ללא מעורבות ישירה של פושעי הסייבר. מקרים שבהם פענוח אפשרי בדרך כלל כרוכים בתוכנת כופר פגומה, וזה דבר נדיר.

בשילוב הסיכונים, קורבנות מוצאים את עצמם לעתים קרובות ללא המפתחות או הכלים הדרושים כדי לפענח את הנתונים שלהם, גם לאחר ציות לדרישות כופר. כתוצאה מכך, מומחים מונעים בתוקף להיכנע לדרישות אלה, תוך שימת דגש על חוסר הבטחון בשחזור קבצים מוצלח והתמיכה הבלתי מכוונת בפעילויות פליליות באמצעות תשלומי כופר.

בעוד שהסרת תוכנת הכופר ממערכת ההפעלה היא צעד הכרחי כדי למנוע הצפנת נתונים נוספת, חשוב לציין שהסרה לבדה אינה משחזרת אוטומטית קבצים שכבר הושפעו. הפתרון המומלץ במקרים כאלה הוא ליזום שחזור קבצים מגיבוי שנוצר בעבר, בתנאי שקיים כזה ומאוחסן במיקום נפרד ומאובטח. גישה זו מבטיחה אמצעי אמין ויעיל יותר לשחזור נתונים מבלי להנציח את מעגל תשלומי הכופר והפעילות הפלילית.

פתק הכופר שנוצר על ידי תוכנת הכופר של Jkwerlo הוא:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

הגרסה הספרדית של שטר הכופר היא:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

יש גם גרסה בשפה הצרפתית של פתק הכופר של Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'