Jkwerlo 랜섬웨어
Jkwerlo는 랜섬웨어 범주에 속하는 안전하지 않은 프로그램으로 식별됩니다. 주요 기능은 데이터를 암호화한 후 암호 해독에 대한 대가로 지불을 요구하는 것입니다. 일반적으로 확장자를 추가하여 잠긴 파일의 제목을 변경하는 다른 많은 랜섬웨어 변종과 달리 Jkwerlo는 영향을 받는 파일의 원래 이름을 수정하지 않는다는 점에서 차별화됩니다. 암호화 프로세스가 완료되면 이 특정 랜섬웨어는 'IMPORTANT_README.txt'라는 제목의 랜섬노트를 생성합니다. 이 메모는 공격자가 피해자와 통신하고 몸값 지불 조건을 간략히 설명하고 암호 해독 프로세스를 진행하는 방법에 대한 지침을 제공하는 수단으로 사용됩니다.
Jkwerlo 랜섬웨어는 정교한 유해 기능을 표시합니다.
Jkwerlo는 정교한 랜섬웨어 변종으로 눈에 띄며 운영이 어느 정도 복잡하다는 것을 보여줍니다. 특히, 스페인어와 프랑스어로 의사소통하는 사용자를 표적으로 삼는 것이 관찰되었습니다. 공격은 각기 다른 수준의 복잡성을 특징으로 하는 뚜렷한 감염 체인을 사용합니다.
시스템에 침투할 때 Jkwerlo는 일반적으로 PDF 문서 아이콘으로 교묘하게 위장된 5~6MB 범위의 비교적 컴팩트한 실행 파일 형태로 도착합니다. 이 악성코드는 위협적인 활동을 수행하기 위해 PowerShell 명령에 크게 의존하며 다양한 명령을 실행하는 데 있어 다재다능함을 보여줍니다.
Jkwerlo의 주목할만한 기능 중 하나는 프로세스, 특히 데이터베이스 프로그램 및 텍스트 파일 판독기와 같이 활발하게 열려 있는 파일과 관련된 프로세스를 종료하는 기능입니다. 이를 통해 랜섬웨어는 '사용 중'으로 간주되는 파일에서 발생할 수 있는 암호화 면제를 전략적으로 피합니다. 또한 프로그램은 쉐도우 볼륨 복사본을 삭제하여 잠재적인 복구 방법을 제거하는 등 영향력을 강화하기 위한 추가 조치를 취합니다.
지속성과 회피를 추구하는 과정에서 Jkwerlo는 BCD(부팅 구성 데이터)를 수정하여 제어된 폴더 액세스를 포함하여 Microsoft Defender Antivirus와 같은 중요한 보안 구성 요소를 비활성화합니다. 또한 작업 관리자(Taskmgr.exe) 및 리소스 모니터(Resmon.exe)의 실행 파일을 삭제하려고 시도하므로 보안 전문가의 완화 및 탐지 노력이 더욱 복잡해집니다. 이러한 다각적인 접근 방식은 랜섬웨어의 정교함을 강조하고 랜섬웨어의 유해한 활동에 대응하기 위한 강력한 사이버 보안 조치의 중요성을 강화합니다.
Jkwerlo 랜섬웨어는 피해자로부터 몸값을 갈취하려고 합니다.
Jkwerlo의 랜섬 노트는 액세스할 수 없게 된 파일이 암호화되었음을 명시적으로 전달하며, 데이터를 복구할 수 없게 만들 위험이 있으므로 수동으로 암호를 해독하려는 시도에 대해 경고합니다. 이러한 파일을 복구하는 열쇠는 공격자가 보호하는 중요한 구성 요소인 암호 해독 키를 소유하고 있다는 것입니다. 이 키를 얻으려면 피해자는 몸값을 지불해야 합니다. 자금이 이체되면 사이버 범죄자는 24시간 이내에 암호 해독 도구와 그에 따른 지침을 제공할 것을 보장합니다.
이러한 약속에도 불구하고 정보 보안 연구자들은 사이버 범죄자의 직접적인 개입 없이는 암호 해독이 일반적으로 불가능하다고 강조합니다. 암호 해독이 가능한 경우에는 일반적으로 심각한 결함이 있는 랜섬웨어가 포함되는데, 이는 매우 드뭅니다.
위험을 더욱 악화시키는 피해자는 몸값 요구 사항을 준수한 후에도 데이터를 해독하는 데 필요한 키나 도구가 없는 경우가 많습니다. 따라서 전문가들은 성공적인 파일 복구에 대한 확신이 부족하고 몸값 지불을 통한 범죄 활동에 대한 의도하지 않은 지원을 강조하면서 이러한 요구에 굴복하지 말 것을 강력히 권장합니다.
운영 체제에서 랜섬웨어를 제거하는 것은 추가 데이터 암호화를 방지하는 데 필요한 단계이지만, 제거만으로는 이미 영향을 받은 파일을 자동으로 복원할 수 없다는 점에 유의해야 합니다. 이러한 경우 권장되는 해결 방법은 이전에 생성된 백업이 존재하고 별도의 안전한 위치에 저장되어 있는 경우 해당 백업에서 파일 복구를 시작하는 것입니다. 이 접근 방식은 몸값 지불 및 범죄 활동의 악순환을 지속시키지 않으면서도 보다 안정적이고 효과적인 데이터 복원 수단을 보장합니다.
Jkwerlo Ransomware가 생성한 몸값 메모는 다음과 같습니다.
'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.
When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.
Contact to recover the files:'
랜섬노트의 스페인어 버전은 다음과 같습니다:
'Hola,
Consulte la información vital que he compartido con usted mediante Google Drive.
Abra el archivo para ver los detalles.
Saludos.
AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.
Por favor considere el medio ambiente antes de imprimir este e-mail.'
Jkwerlo의 몸값 메모에는 프랑스어 버전도 있습니다.
'Bonjour,
Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.
Ouvrez le fichier pour afficher les détails.
Salutations.
AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.
Pensez à l'environnement avant d'imprimer cet e-mail.'
