Jkwerlo Ransomware

Jkwerlo je identificiran kao nesiguran program koji spada u kategoriju ransomwarea. Njegova primarna funkcionalnost vrti se oko šifriranja podataka i naknadnog traženja plaćanja u zamjenu za dešifriranje. Za razliku od mnogih drugih varijanti ransomwarea koje obično mijenjaju naslove zaključanih datoteka dodavanjem ekstenzija, Jkwerlo se razlikuje po tome što ne mijenja izvorne nazive zahvaćenih datoteka. Po završetku procesa enkripcije, ovaj određeni ransomware generira poruku o otkupnini pod nazivom 'IMPORTANT_README.txt.' Bilješka služi kao sredstvo za komunikaciju napadača sa žrtvom, ocrtavajući odredbe i uvjete za plaćanje otkupnine i pružajući upute o tome kako nastaviti s postupkom dešifriranja.

Ransomware Jkwerlo prikazuje sofisticirane štetne funkcije

Jkwerlo se ističe kao sofisticirani soj ransomwarea, pokazujući razinu složenosti u svojim operacijama. Primijećeno je da cilja na korisnike koji komuniciraju na španjolskom i francuskom jeziku. Napadi koriste različite lance infekcije, od kojih svaki karakteriziraju različite razine zamršenosti.

Kada se infiltrira u sustave, Jkwerlo obično dolazi u obliku relativno kompaktne izvršne datoteke, veličine od 5 do 6 megabajta, vješto prikrivene ikonom PDF dokumenta. Zlonamjerni softver uvelike se oslanja na PowerShell naredbe za izvođenje svojih prijetećih aktivnosti, pokazujući svestranost u izvršavanju niza naredbi.

Jedna značajna značajka Jkwerloa je njegova sposobnost da prekine procese, posebno one povezane s aktivno otvorenim datotekama, kao što su programi baza podataka i čitači tekstualnih datoteka. Čineći to, ransomware strateški izbjegava izuzeća kod enkripcije koja mogu proizaći iz datoteka koje se smatraju 'u upotrebi'. Nadalje, program poduzima dodatne mjere kako bi povećao svoj učinak, poput brisanja kopija svezaka u sjeni, čime se eliminira potencijalni put za oporavak.

U svojoj potrazi za postojanošću i izbjegavanjem, Jkwerlo modificira Boot Configuration Data (BCD), onemogućujući ključne sigurnosne komponente kao što je Microsoft Defender Antivirus, uključujući Controlled Folder Access. Dodatno, pokušava izbrisati izvršne datoteke za Upravitelj zadataka (Taskmgr.exe) i Monitor resursa (Resmon.exe), dodatno komplicirajući napore za ublažavanje i otkrivanje sigurnosnih stručnjaka. Ovaj višestruki pristup naglašava sofisticiranost ransomwarea i povećava važnost snažnih mjera kibernetičke sigurnosti za suzbijanje njegovih štetnih aktivnosti.

Ransomware Jkwerlo pokušava iznuditi otkupninu od svojih žrtava

Jkwerloova poruka o otkupnini izričito govori da su datoteke koje su postale nedostupne podvrgnute enkripciji, upozoravajući na bilo kakve pokušaje ručnog dešifriranja zbog rizika da podaci postanu nepovratni. Ključ za oporavak ovih datoteka leži u posjedovanju ključa za dešifriranje, ključne komponente koju čuvaju napadači. Da bi dobili ovaj ključ, žrtve su prisiljene platiti otkupninu. Nakon prijenosa sredstava, kibernetički kriminalci osiguravaju isporuku alata za dešifriranje i popratnih uputa u roku od 24 sata.

Unatoč tim obećanjima, istraživači informacijske sigurnosti naglašavaju opću nemogućnost dešifriranja bez izravnog uključivanja kibernetičkih kriminalaca. Slučajevi u kojima je dešifriranje izvedivo obično uključuju ransomware s velikim greškama, što je rijetkost.

Povećavajući rizike, žrtve se često nađu bez potrebnih ključeva ili alata za dešifriranje svojih podataka, čak i nakon što ispune zahtjeve za otkupninom. Slijedom toga, stručnjaci snažno obeshrabruju podleganje ovim zahtjevima, naglašavajući nedostatak jamstva za uspješan oporavak datoteka i nenamjernu podršku kriminalnim aktivnostima putem plaćanja otkupnine.

Iako je uklanjanje ransomwarea iz operativnog sustava neophodan korak za sprječavanje daljnje enkripcije podataka, bitno je napomenuti da samo uklanjanje ne vraća automatski već pogođene datoteke. Preporučeno rješenje u takvim slučajevima je pokretanje oporavka datoteke iz prethodno stvorene sigurnosne kopije, pod uvjetom da ona postoji i da je pohranjena na odvojenom i sigurnom mjestu. Ovaj pristup osigurava pouzdaniji i učinkovitiji način vraćanja podataka bez ponavljanja ciklusa plaćanja otkupnine i kriminalnih aktivnosti.

Obavijest o otkupnini koju je generirao Jkwerlo Ransomware je:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Španjolska varijanta poruke o otkupnini je:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Postoji i varijanta Jkwerlove poruke o otkupnini na francuskom jeziku:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'