Jkwerlo Ransomware

„Jkwerlo“ nustatyta kaip nesaugi programa, patenkanti į išpirkos reikalaujančių programų kategoriją. Pagrindinė jo funkcija sukasi apie duomenų šifravimą ir vėliau reikalavimą sumokėti mainais už iššifravimą. Skirtingai nuo daugelio kitų išpirkos reikalaujančių programų variantų, kurie paprastai keičia užrakintų failų pavadinimus pridėdami plėtinių, Jkwerlo išsiskiria tuo, kad nekeičia pradinių paveiktų failų pavadinimų. Užbaigus šifravimo procesą, ši konkreti išpirkos reikalaujanti programa sukuria išpirkos raštelį pavadinimu „IMPORTANT_README.txt“. Užrašas yra priemonė užpuolikams susisiekti su auka, jame aprašomos išpirkos mokėjimo sąlygos ir pateikiami nurodymai, kaip tęsti iššifravimo procesą.

Jkwerlo Ransomware rodo sudėtingas kenksmingas funkcijas

„Jkwerlo“ išsiskiria kaip sudėtinga išpirkos reikalaujančių programų padermė, demonstruojanti savo operacijų sudėtingumo lygį. Pastebėta, kad tai taikoma vartotojams, kurie bendrauja ispanų ir prancūzų kalbomis. Išpuoliuose naudojamos skirtingos infekcijos grandinės, kurių kiekvienai būdingas skirtingas sudėtingumo lygis.

Kai įsiskverbia į sistemas, „Jkwerlo“ paprastai būna palyginti kompaktiško vykdomojo failo, kurio dydis svyruoja nuo 5 iki 6 megabaitų, forma, sumaniai užmaskuotas PDF dokumento piktograma. Kenkėjiška programa labai priklauso nuo „PowerShell“ komandų, kad galėtų vykdyti savo grėsmingą veiklą, todėl ji yra įvairiapusiška vykdant įvairias komandas.

Viena svarbi Jkwerlo ypatybė yra jos gebėjimas nutraukti procesus, ypač susijusius su aktyviai atidarytais failais, pvz., duomenų bazių programomis ir tekstinių failų skaitytuvais. Tai darydama, išpirkos reikalaujanti programa strategiškai išvengia šifravimo išimčių, kurios gali atsirasti dėl failų, kurie laikomi „naudojamais“. Be to, programa imasi papildomų priemonių, kad padidintų savo poveikį, pavyzdžiui, ištrina šešėlinės tomo kopijas, pašalindama galimą atkūrimo kelią.

Siekdama atkaklumo ir vengimo, Jkwerlo modifikuoja įkrovos konfigūracijos duomenis (BCD), išjungdama esminius saugos komponentus, tokius kaip „Microsoft Defender Antivirus“, įskaitant kontroliuojamą prieigą prie aplankų. Be to, bandoma ištrinti užduočių tvarkyklės (Taskmgr.exe) ir Resource Monitor (Resmon.exe) vykdomąsias programas, dar labiau apsunkindamas saugos specialistų pastangas švelninti ir aptikti. Šis daugialypis metodas pabrėžia išpirkos reikalaujančios programinės įrangos sudėtingumą ir padidina patikimų kibernetinio saugumo priemonių svarbą, siekiant atremti jos žalingą veiklą.

„Jkwerlo Ransomware“ bando iš savo aukų išvilioti išpirką

Jkwerlo išpirkos rašte aiškiai nurodoma, kad nepasiekiami failai buvo užšifruoti, perspėjant, kad nebandoma rankiniu būdu iššifruoti, nes kyla pavojus, kad duomenys taps neatkuriami. Šių failų atkūrimo raktas yra iššifravimo rakto, esminio užpuolikų saugomo komponento, turėjimas. Norėdami gauti šį raktą, aukos yra priverstos sumokėti išpirką. Kai lėšos bus pervestos, kibernetiniai nusikaltėliai užtikrina, kad iššifravimo įrankiai ir pridedamos instrukcijos bus pristatytos per 24 valandas.

Nepaisant šių pažadų, informacijos saugumo tyrinėtojai pabrėžia, kad apskritai neįmanoma iššifruoti be tiesioginio kibernetinių nusikaltėlių įsitraukimo. Atvejai, kai iššifravimas yra įmanomas, dažniausiai susiję su labai ydinga išpirkos reikalaujančia programa, kuri yra retenybė.

Padidindamos riziką, aukos dažnai atsiduria be reikalingų raktų ar įrankių savo duomenims iššifruoti, net ir įvykdžiusios išpirkos reikalavimus. Todėl ekspertai griežtai neskatina pasiduoti šiems reikalavimams, pabrėždami, kad nėra užtikrinimo dėl sėkmingo failų atkūrimo ir nenumatytą paramą nusikalstamai veiklai mokant išpirką.

Nors išpirkos reikalaujančios programinės įrangos pašalinimas iš operacinės sistemos yra būtinas žingsnis siekiant užkirsti kelią tolesniam duomenų šifravimui, svarbu atkreipti dėmesį, kad vien pašalinus failus, kurie jau paveikti, automatiškai neatkuriama. Rekomenduojamas sprendimas tokiais atvejais yra pradėti failo atkūrimą iš anksčiau sukurtos atsarginės kopijos, jei tokia yra ir yra saugoma atskiroje ir saugioje vietoje. Šis metodas užtikrina patikimesnę ir veiksmingesnę duomenų atkūrimo priemonę, nepertraukiant išpirkos mokėjimo ir nusikalstamos veiklos ciklo.

Jkwerlo Ransomware sugeneruotas išpirkos raštas yra:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Ispaniškas išpirkos raštelio variantas yra toks:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Taip pat yra Jkwerlo išpirkos rašto variantas prancūzų kalba:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'