Jkwerlo ransomware

Jkwerlo è identificato come un programma non sicuro che rientra nella categoria dei ransomware. La sua funzionalità principale ruota attorno alla crittografia dei dati e alla successiva richiesta di pagamento in cambio della decrittazione. A differenza di molte altre varianti di ransomware che in genere alterano i titoli dei file bloccati aggiungendo estensioni, Jkwerlo si distingue astenendosi dal modificare i nomi originali dei file interessati. Al completamento del processo di crittografia, questo particolare ransomware genera una richiesta di riscatto intitolata "IMPORTANT_README.txt". La nota serve agli aggressori come mezzo per comunicare con la vittima, delineando i termini e le condizioni per il pagamento del riscatto e fornendo istruzioni su come procedere con il processo di decrittazione.

Il ransomware Jkwerlo mostra sofisticate funzioni dannose

Jkwerlo si distingue come un sofisticato ceppo di ransomware, mostrando un livello di complessità nelle sue operazioni. In particolare, è stato osservato che vengono presi di mira utenti che comunicano in spagnolo e francese. Gli attacchi impiegano catene di infezione distinte, ciascuna caratterizzata da diversi livelli di complessità.

Quando si infiltra nei sistemi, Jkwerlo arriva generalmente sotto forma di un eseguibile relativamente compatto, che varia dai 5 ai 6 megabyte, abilmente mascherato dall'icona di un documento PDF. Il malware fa molto affidamento sui comandi PowerShell per svolgere le sue attività minacciose, dimostrando versatilità nell'esecuzione di una serie di comandi.

Una caratteristica notevole di Jkwerlo è la sua capacità di terminare i processi, in particolare quelli associati a file aperti attivamente, come programmi di database e lettori di file di testo. In questo modo, il ransomware evita strategicamente le esenzioni di crittografia che potrebbero derivare da file considerati "in uso". Inoltre, il programma adotta misure aggiuntive per migliorarne l'impatto, come l'eliminazione delle copie shadow del volume, eliminando una potenziale via di recupero.

Nella sua ricerca di persistenza ed evasione, Jkwerlo modifica i dati di configurazione di avvio (BCD), disabilitando componenti di sicurezza cruciali come Microsoft Defender Antivirus, incluso l'accesso controllato alle cartelle. Inoltre, tenta di eliminare gli eseguibili di Task Manager (Taskmgr.exe) e Resource Monitor (Resmon.exe), complicando ulteriormente gli sforzi di mitigazione e rilevamento per i professionisti della sicurezza. Questo approccio sfaccettato sottolinea la sofisticatezza del ransomware e sottolinea l’importanza di solide misure di sicurezza informatica per contrastare le sue attività dannose.

Il ransomware Jkwerlo tenta di estorcere il pagamento del riscatto alle sue vittime

La richiesta di riscatto di Jkwerlo comunica esplicitamente che i file resi inaccessibili sono stati sottoposti a crittografia, mettendo in guardia contro eventuali tentativi di decrittazione manuale per il rischio di rendere i dati irrecuperabili. La chiave per recuperare questi file risiede nel possesso della chiave di decrittazione, un componente cruciale salvaguardato dagli aggressori. Per ottenere questa chiave, le vittime sono costrette a effettuare il pagamento di un riscatto. Una volta trasferiti i fondi, i criminali informatici assicurano la consegna degli strumenti di decrittazione e delle relative istruzioni entro un periodo di 24 ore.

Nonostante queste promesse, i ricercatori nel campo della sicurezza informatica sottolineano l’impossibilità generale di decriptare i dati senza il coinvolgimento diretto dei criminali informatici. I casi in cui la decrittazione è fattibile di solito coinvolgono ransomware profondamente difettosi, il che è una rarità.

Ad aggravare i rischi, le vittime spesso si ritrovano senza le chiavi o gli strumenti necessari per decrittografare i propri dati, anche dopo aver soddisfatto le richieste di riscatto. Di conseguenza, gli esperti scoraggiano fortemente il cedere a queste richieste, sottolineando la mancanza di garanzie nel successo del recupero dei file e il sostegno involontario ad attività criminali attraverso il pagamento di un riscatto.

Sebbene la rimozione del ransomware dal sistema operativo sia un passaggio necessario per impedire un'ulteriore crittografia dei dati, è essenziale notare che la rimozione da sola non ripristina automaticamente i file già colpiti. La soluzione consigliata in questi casi è avviare il ripristino dei file da un backup creato in precedenza, a condizione che ne esista uno e sia archiviato in una posizione separata e sicura. Questo approccio garantisce un mezzo più affidabile ed efficace per il ripristino dei dati senza perpetuare il ciclo dei pagamenti di riscatto e delle attività criminali.

La richiesta di riscatto generata dal Jkwerlo Ransomware è:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

La variante spagnola della richiesta di riscatto è:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Esiste anche una variante in lingua francese della richiesta di riscatto di Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'