Jkwerlo Ransomware

Jkwerlo dikenal pasti sebagai program tidak selamat yang termasuk dalam kategori perisian tebusan. Fungsi utamanya berkisar pada penyulitan data dan seterusnya menuntut bayaran sebagai pertukaran untuk penyahsulitan. Tidak seperti banyak varian perisian tebusan lain yang biasanya mengubah tajuk fail yang dikunci dengan menambahkan sambungan, Jkwerlo membezakan dirinya dengan mengelak daripada mengubah suai nama asal fail yang terjejas. Setelah selesai proses penyulitan, perisian tebusan tertentu ini menghasilkan nota tebusan bertajuk 'IMPORTANT_README.txt.' Nota itu berfungsi sebagai cara untuk penyerang berkomunikasi dengan mangsa, menggariskan terma dan syarat untuk pembayaran tebusan dan memberikan arahan tentang cara meneruskan proses penyahsulitan.

Ransomware Jkwerlo Memaparkan Fungsi Memudaratkan Canggih

Jkwerlo menonjol sebagai rangkaian perisian tebusan yang canggih, mempamerkan tahap kerumitan dalam operasinya. Terutama, ia telah diperhatikan menyasarkan pengguna yang berkomunikasi dalam bahasa Sepanyol dan Perancis. Serangan menggunakan rantaian jangkitan yang berbeza, masing-masing dicirikan oleh pelbagai tahap kerumitan.

Apabila menyusup sistem, Jkwerlo biasanya tiba dalam bentuk boleh laku yang agak padat, antara 5 hingga 6 megabait, dengan bijak menyamar dengan ikon dokumen PDF. Malware sangat bergantung pada arahan PowerShell untuk menjalankan aktiviti mengancamnya, mempamerkan serba boleh dalam melaksanakan pelbagai arahan.

Satu ciri ketara Jkwerlo ialah keupayaannya untuk menamatkan proses, terutamanya yang dikaitkan dengan fail yang dibuka secara aktif, seperti program pangkalan data dan pembaca fail teks. Dengan berbuat demikian, perisian tebusan secara strategik mengelakkan pengecualian penyulitan yang mungkin timbul daripada fail yang dianggap 'sedang digunakan.' Tambahan pula, program ini mengambil langkah tambahan untuk meningkatkan impaknya, seperti memadamkan Salinan Volume Bayangan, menghapuskan kemungkinan jalan untuk pemulihan.

Dalam usahanya untuk kegigihan dan pengelakan, Jkwerlo mengubah suai Data Konfigurasi Boot (BCD), melumpuhkan komponen keselamatan penting seperti Microsoft Defender Antivirus, termasuk Capaian Folder Terkawal. Selain itu, ia cuba memadamkan boleh laku untuk Pengurus Tugas (Taskmgr.exe) dan Pemantau Sumber (Resmon.exe), merumitkan lagi usaha mitigasi dan pengesanan untuk profesional keselamatan. Pendekatan pelbagai aspek ini menggariskan kecanggihan perisian tebusan dan meningkatkan kepentingan langkah keselamatan siber yang teguh untuk mengatasi aktiviti berbahayanya.

Jkwerlo Ransomware Cuba Memeluk Bayaran Tebusan daripada Mangsanya

Nota tebusan Jkwerlo secara jelas memberitahu bahawa fail yang dijadikan tidak boleh diakses telah melalui penyulitan, memberi amaran terhadap sebarang percubaan penyahsulitan manual kerana risiko menyebabkan data tidak boleh diperoleh semula. Kunci untuk memulihkan fail ini terletak pada pemilikan kunci penyahsulitan, komponen penting yang dilindungi oleh penyerang. Untuk mendapatkan kunci ini, mangsa terpaksa membuat bayaran tebusan. Sebaik sahaja dana dipindahkan, penjenayah siber memastikan penghantaran alat penyahsulitan dan arahan yang disertakan dalam tempoh masa 24 jam.

Walaupun janji-janji ini, penyelidik keselamatan maklumat menekankan kemustahilan umum penyahsulitan tanpa penglibatan langsung penjenayah siber. Kejadian di mana penyahsulitan boleh dilaksanakan biasanya melibatkan perisian tebusan yang sangat cacat, yang jarang berlaku.

Menggabungkan risiko, mangsa sering mendapati diri mereka tanpa kunci atau alat yang diperlukan untuk menyahsulit data mereka, walaupun selepas mematuhi tuntutan wang tebusan. Akibatnya, pakar sangat tidak menggalakkan untuk tunduk kepada tuntutan ini, menekankan kekurangan jaminan dalam pemulihan fail yang berjaya dan sokongan yang tidak diingini untuk aktiviti jenayah melalui pembayaran tebusan.

Walaupun mengalih keluar perisian tebusan daripada sistem pengendalian adalah langkah yang perlu untuk menghalang penyulitan data selanjutnya, adalah penting untuk ambil perhatian bahawa pengalihan keluar sahaja tidak memulihkan fail yang telah terjejas secara automatik. Penyelesaian yang disyorkan dalam kes sedemikian adalah untuk memulakan pemulihan fail daripada sandaran yang dibuat sebelum ini, dengan syarat ia wujud dan disimpan di lokasi yang berasingan dan selamat. Pendekatan ini memastikan cara pemulihan data yang lebih dipercayai dan berkesan tanpa mengekalkan kitaran pembayaran tebusan dan aktiviti jenayah.

Nota tebusan yang dijana oleh Jkwerlo Ransomware ialah:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Varian bahasa Sepanyol bagi wang tebusan ialah:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Terdapat juga varian bahasa Perancis bagi nota tebusan Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'