Jkwerlo Ransomware
Jkwerlo er identifisert som et utrygt program som faller inn under kategorien løsepengevare. Dens primære funksjonalitet dreier seg om å kryptere data og deretter kreve betaling i bytte mot dekryptering. I motsetning til mange andre løsepengevarevarianter som vanligvis endrer titlene på låste filer ved å legge til utvidelser, utmerker Jkwerlo seg ved å avstå fra å endre de opprinnelige navnene på de berørte filene. Når krypteringsprosessen er fullført, genererer denne løsepengevaren en løsepengenotat med tittelen 'IMPORTANT_README.txt.' Notatet fungerer som et middel for angriperne til å kommunisere med offeret, og beskriver vilkårene og betingelsene for løsepenger og gir instruksjoner om hvordan de skal gå videre med dekrypteringsprosessen.
Jkwerlo Ransomware viser sofistikerte skadelige funksjoner
Jkwerlo skiller seg ut som en sofistikert løsepengevarestamme, som viser et kompleksitetsnivå i driften. Spesielt har det blitt observert rettet mot brukere som kommuniserer på spansk og fransk. Angrepene bruker distinkte infeksjonskjeder, hver preget av varierende nivåer av forviklinger.
Når man infiltrerer systemer, kommer Jkwerlo vanligvis i form av en relativt kompakt kjørbar, fra 5 til 6 megabyte, smart forkledd med et PDF-dokumentikon. Skadevaren er sterkt avhengig av PowerShell-kommandoer for å utføre sine truende aktiviteter, og viser allsidighet når det gjelder å utføre en rekke kommandoer.
En bemerkelsesverdig funksjon ved Jkwerlo er dens evne til å avslutte prosesser, spesielt de som er knyttet til aktivt åpnede filer, for eksempel databaseprogrammer og tekstfillesere. Ved å gjøre det, unngår løsepengevaren strategisk krypteringsfritak som kan oppstå fra filer som anses som "i bruk". Videre tar programmet ytterligere tiltak for å øke effekten, for eksempel å slette Shadow Volume Copies, og eliminere en potensiell vei for gjenoppretting.
I sin søken etter utholdenhet og unndragelse, endrer Jkwerlo Boot Configuration Data (BCD), og deaktiverer viktige sikkerhetskomponenter som Microsoft Defender Antivirus, inkludert kontrollert mappetilgang. I tillegg forsøker den å slette kjørbare filene for Task Manager (Taskmgr.exe) og Resource Monitor (Resmon.exe), noe som ytterligere kompliserer avbøtende og gjenkjenningsarbeid for sikkerhetseksperter. Denne mangefasetterte tilnærmingen understreker løsepengevarens sofistikerte og øker viktigheten av robuste nettsikkerhetstiltak for å motvirke dens skadelige aktiviteter.
Jkwerlo Ransomware prøver å presse løsepenger fra sine ofre
Jkwerlos løsepengenota kommuniserer eksplisitt at filene som er gjort utilgjengelige har gjennomgått kryptering, og advarer mot alle forsøk på manuell dekryptering på grunn av risikoen for å gjøre dataene uopprettelige. Nøkkelen til å gjenopprette disse filene ligger i besittelsen av dekrypteringsnøkkelen, en avgjørende komponent som beskyttes av angriperne. For å få denne nøkkelen, er ofrene tvunget til å betale løsepenger. Når midlene er overført, sikrer nettkriminelle levering av dekrypteringsverktøy og tilhørende instruksjoner innen en 24-timers tidsramme.
Til tross for disse løftene, understreker informasjonssikkerhetsforskere den generelle umuligheten av dekryptering uten direkte involvering av nettkriminelle. Tilfeller der dekryptering er mulig involverer vanligvis dypt defekt løsepengevare, noe som er en sjeldenhet.
For å blande risikoen finner ofre seg ofte uten de nødvendige nøklene eller verktøyene for å dekryptere dataene sine, selv etter å ha overholdt krav om løsepenger. Eksperter fraråder derfor sterkt å gi etter for disse kravene, og understreker mangelen på sikkerhet for vellykket filgjenoppretting og den utilsiktede støtten til kriminelle aktiviteter gjennom løsepenger.
Selv om fjerning av løsepengevaren fra operativsystemet er et nødvendig skritt for å forhindre ytterligere datakryptering, er det viktig å merke seg at fjerning alene ikke automatisk gjenoppretter filer som allerede er berørt. Den anbefalte løsningen i slike tilfeller er å starte filgjenoppretting fra en tidligere opprettet sikkerhetskopi, forutsatt at en finnes og er lagret på et separat og sikkert sted. Denne tilnærmingen sikrer et mer pålitelig og effektivt middel for datagjenoppretting uten å opprettholde syklusen med løsepenger og kriminell aktivitet.
Løsepengene som genereres av Jkwerlo Ransomware er:
'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.
When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.
Contact to recover the files:'
Den spanske varianten av løsepengene er:
'Hola,
Consulte la información vital que he compartido con usted mediante Google Drive.
Abra el archivo para ver los detalles.
Saludos.
AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.
Por favor considere el medio ambiente antes de imprimir este e-mail.'
Det er også en franskspråklig variant av Jkwerlos løsepengenotat:
'Bonjour,
Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.
Ouvrez le fichier pour afficher les détails.
Salutations.
AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.
Pensez à l'environnement avant d'imprimer cet e-mail.'
