Jkwerlo Ransomware

Jkwerlo ir identificēts kā nedroša programma, kas ietilpst izspiedējvīrusu kategorijā. Tās galvenā funkcionalitāte ir saistīta ar datu šifrēšanu un pēc tam maksājuma pieprasīšanu apmaiņā pret atšifrēšanu. Atšķirībā no daudziem citiem izpirkuma programmatūras variantiem, kas parasti maina bloķēto failu nosaukumus, pievienojot paplašinājumus, Jkwerlo izceļas ar to, ka atturas mainīt ietekmēto failu sākotnējos nosaukumus. Pēc šifrēšanas procesa pabeigšanas šī konkrētā izpirkuma programmatūra ģenerē izpirkuma maksu ar nosaukumu "IMPORTANT_README.txt". Piezīme kalpo kā līdzeklis uzbrucēju saziņai ar upuri, kurā ir izklāstīti izpirkuma maksas nosacījumi un sniegti norādījumi, kā turpināt atšifrēšanas procesu.

Jkwerlo Ransomware parāda sarežģītas kaitīgas funkcijas

Jkwerlo izceļas kā izsmalcināts izspiedējvīrusa celms, demonstrējot savu darbību sarežģītības līmeni. Jo īpaši tika novērots, ka mērķauditorija tiek atlasīta lietotājiem, kuri sazinās spāņu un franču valodā. Uzbrukumos tiek izmantotas atšķirīgas infekcijas ķēdes, un katrai no tām ir atšķirīgs sarežģītības līmenis.

Iefiltrējoties sistēmās, Jkwerlo parasti nonāk salīdzinoši kompakta izpildāmā faila formā, kura izmērs ir no 5 līdz 6 megabaitiem, kas ir gudri maskēts ar PDF dokumenta ikonu. Ļaunprātīga programmatūra lielā mērā paļaujas uz PowerShell komandām, lai veiktu draudošās darbības, un tā ir daudzpusīga dažādu komandu izpildē.

Viena ievērojama Jkwerlo iezīme ir tā spēja pārtraukt procesus, īpaši tos, kas saistīti ar aktīvi atvērtiem failiem, piemēram, datu bāzes programmām un teksta failu lasītājiem. Šādi rīkojoties, izspiedējprogrammatūra stratēģiski izvairās no šifrēšanas atbrīvojumiem, kas var rasties no failiem, kas tiek uzskatīti par “lietotiem”. Turklāt programma veic papildu pasākumus, lai uzlabotu tās ietekmi, piemēram, ēnu sējuma kopiju dzēšana, novēršot iespējamo atkopšanas iespēju.

Cenšoties pēc neatlaidības un izvairīšanās, Jkwerlo modificē sāknēšanas konfigurācijas datus (BCD), atspējojot svarīgus drošības komponentus, piemēram, Microsoft Defender Antivirus, tostarp kontrolēto piekļuvi mapēm. Turklāt tas mēģina dzēst uzdevumu pārvaldnieka (Taskmgr.exe) un Resource Monitor (Resmon.exe) izpildāmos failus, vēl vairāk sarežģījot drošības profesionāļu mazināšanas un noteikšanas pasākumus. Šī daudzpusīgā pieeja uzsver izspiedējvīrusa izsmalcinātību un palielina stingru kiberdrošības pasākumu nozīmi, lai novērstu tās kaitīgās darbības.

Jkwerlo Ransomware mēģina izspiest izpirkuma maksu no saviem upuriem

Jkwerlo izpirkuma piezīmē ir skaidri norādīts, ka faili, kas padarīti nepieejami, ir tikuši šifrēti, brīdinot par jebkādiem manuālas atšifrēšanas mēģinājumiem, jo pastāv risks, ka dati var kļūt neatgriezeniski. Šo failu atkopšanas atslēga ir atšifrēšanas atslēgas, kas ir būtiska sastāvdaļa, ko aizsargā uzbrucēji, rīcībā. Lai iegūtu šo atslēgu, upuri ir spiesti veikt izpirkuma maksu. Kad līdzekļi ir pārskaitīti, kibernoziedznieki nodrošina atšifrēšanas rīku un pievienoto instrukciju piegādi 24 stundu laikā.

Neskatoties uz šiem solījumiem, informācijas drošības pētnieki uzsver vispārēju atšifrēšanas neiespējamību bez tiešas kibernoziedznieku iesaistes. Gadījumi, kad atšifrēšana ir iespējama, parasti ir saistīta ar dziļi bojātu izpirkuma programmatūru, kas ir retums.

Apvienojot riskus, upuri bieži vien nonāk bez nepieciešamajām atslēgām vai rīkiem, lai atšifrētu savus datus, pat pēc izpirkuma prasību izpildes. Līdz ar to eksperti stingri attur ļauties šīm prasībām, uzsverot pārliecības trūkumu par veiksmīgu failu atgūšanu un netīšu noziedzīgu darbību atbalstīšanu, veicot izpirkuma maksu.

Lai gan izpirkuma programmatūras noņemšana no operētājsistēmas ir nepieciešama, lai novērstu turpmāku datu šifrēšanu, ir svarīgi ņemt vērā, ka noņemšana vien automātiski neatjauno jau ietekmētos failus. Šādos gadījumos ieteicamais risinājums ir sākt failu atkopšanu no iepriekš izveidotas dublējuma, ja tāda pastāv un tiek glabāta atsevišķā un drošā vietā. Šī pieeja nodrošina uzticamāku un efektīvāku datu atjaunošanas līdzekli, neturpinot izpirkuma maksu un noziedzīgu darbību ciklu.

Jkwerlo Ransomware ģenerētā izpirkuma naudas piezīme ir:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Izpirkuma naudas spāņu variants ir šāds:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Ir arī Jkverlo izpirkuma piezīmes variants franču valodā:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'