Jkwerlo Ransomware

A Jkwerlo nem biztonságos program, amely a zsarolóvírusok kategóriájába tartozik. Elsődleges funkciója az adatok titkosítása, majd a visszafejtésért cserébe történő fizetés követelése. Ellentétben sok más zsarolóvírus-változattal, amelyek jellemzően kiterjesztések hozzáadásával változtatják meg a zárolt fájlok címét, a Jkwerlo azzal tűnik ki, hogy tartózkodik az érintett fájlok eredeti nevének módosításától. A titkosítási folyamat befejeztével ez a bizonyos zsarolóprogram egy váltságdíj-jegyzetet generál 'IMPORTANT_README.txt' címmel. A feljegyzés arra szolgál, hogy a támadók kommunikáljanak az áldozattal, felvázolja a váltságdíj fizetésének feltételeit és útmutatást ad a visszafejtési folyamat folytatásához.

A Jkwerlo Ransomware kifinomult, káros funkciókat jelenít meg

A Jkwerlo kifinomult ransomware-törzsként tűnik ki, és működése összetettségét mutatja be. Nevezetesen a spanyolul és franciául kommunikáló felhasználókat célozza meg. A támadások különböző fertőzési láncokat alkalmaznak, amelyek mindegyikét különböző szintű bonyolultság jellemez.

A rendszerekbe való behatoláskor a Jkwerlo jellemzően egy viszonylag kompakt, 5-6 megabájtos futtatható fájl formájában érkezik, amelyet ügyesen egy PDF dokumentum ikonnal álcáznak. A rosszindulatú program nagymértékben támaszkodik a PowerShell-parancsokra fenyegető tevékenységeinek végrehajtása során, és sokoldalúságot mutat számos parancs végrehajtásában.

A Jkwerlo egyik figyelemreméltó tulajdonsága, hogy képes leállítani a folyamatokat, különösen az aktívan megnyitott fájlokhoz kapcsolódókat, például adatbázis-programokat és szöveges fájl-olvasókat. Ezzel a ransomware stratégiailag elkerüli a titkosítás alóli mentességeket, amelyek a „használatban” lévő fájlokból származhatnak. Ezen túlmenően a program további intézkedéseket tesz a hatás fokozása érdekében, például törli az árnyékkötet-példányokat, kiküszöbölve a lehetséges helyreállítási lehetőségeket.

A kitartás és az elkerülés érdekében a Jkwerlo módosítja a rendszerindítási konfigurációs adatokat (BCD), letiltja az olyan kulcsfontosságú biztonsági összetevőket, mint a Microsoft Defender Antivirus, beleértve a Controlled Folder Accesst is. Ezenkívül megpróbálja törölni a Feladatkezelő (Taskmgr.exe) és az Erőforrásfigyelő (Resmon.exe) végrehajtható fájljait, ami tovább bonyolítja a biztonsági szakemberek mérséklésére és észlelésére irányuló erőfeszítéseit. Ez a sokrétű megközelítés kiemeli a zsarolóprogramok kifinomultságát, és növeli a robusztus kiberbiztonsági intézkedések fontosságát a káros tevékenységei ellen.

A Jkwerlo Ransomware megpróbálja kicsalni az áldozataitól a váltságdíjat

Jkwerlo váltságdíj-jegyzete kifejezetten közli, hogy a hozzáférhetetlenné vált fájlok titkosításon estek át, és óva int minden kézi visszafejtési kísérlettől, mivel fennáll az adatok visszahozhatatlanná tételének kockázata. A fájlok helyreállításának kulcsa a visszafejtő kulcs birtokában rejlik, amely kulcsfontosságú összetevő, amelyet a támadók védenek. A kulcs megszerzéséhez az áldozatoknak váltságdíjat kell fizetniük. A pénzeszközök átutalását követően a kiberbűnözők 24 órás időkereten belül biztosítják a visszafejtő eszközök és a kísérő utasítások kézbesítését.

Az ígéretek ellenére az információbiztonsági kutatók hangsúlyozzák a visszafejtés általános lehetetlenségét a kiberbûnözõk közvetlen bevonása nélkül. Az olyan esetek, amikor a visszafejtés megvalósítható, általában mélyen hibás ransomware-t tartalmaznak, ami ritkaság.

A kockázatokat növelve az áldozatok gyakran nem rendelkeznek az adataik visszafejtéséhez szükséges kulcsokkal vagy eszközökkel, még a váltságdíj követeléseinek teljesítése után is. Következésképpen a szakértők határozottan elutasítják, hogy engedjenek ezeknek a követeléseknek, hangsúlyozva a sikeres fájl-helyreállítás biztosítékának hiányát és a bűnözői tevékenységek nem szándékos támogatását váltságdíjfizetés útján.

Bár a zsarolóprogram eltávolítása az operációs rendszerből egy szükséges lépés a további adattitkosítás megakadályozásához, fontos megjegyezni, hogy az eltávolítás önmagában nem állítja vissza automatikusan a már érintett fájlokat. Ilyen esetekben a javasolt megoldás egy korábban létrehozott biztonsági másolatból történő fájl-helyreállítás kezdeményezése, feltéve, hogy ilyen létezik, és azt külön és biztonságos helyen tárolják. Ez a megközelítés megbízhatóbb és hatékonyabb adat-visszaállítási módot biztosít anélkül, hogy állandósítaná a váltságdíjfizetés és a bűncselekmények ciklusát.

A Jkwerlo Ransomware által generált váltságdíj a következő:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

A váltságdíj spanyol változata a következő:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Létezik Jkwerlo váltságdíjának egy francia nyelvű változata is:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'