Jkwerlo-ransomware

Jkwerlo wordt geïdentificeerd als een onveilig programma dat onder de categorie ransomware valt. De primaire functionaliteit draait om het coderen van gegevens en het vervolgens eisen van betaling in ruil voor decodering. In tegenstelling tot veel andere ransomwarevarianten die doorgaans de titels van vergrendelde bestanden wijzigen door extensies toe te voegen, onderscheidt Jkwerlo zich door de oorspronkelijke namen van de getroffen bestanden niet te wijzigen. Na voltooiing van het versleutelingsproces genereert deze specifieke ransomware een losgeldbrief met de titel 'IMPORTANT_README.txt'. Het briefje dient als middel voor de aanvallers om met het slachtoffer te communiceren, waarin de voorwaarden voor het losgeld worden uiteengezet en instructies worden gegeven over hoe verder te gaan met het decoderingsproces.

De Jkwerlo Ransomware vertoont geavanceerde schadelijke functies

Jkwerlo onderscheidt zich als een geavanceerde ransomwaresoort, die een niveau van complexiteit in zijn activiteiten laat zien. Er is met name waargenomen dat het zich richt op gebruikers die in het Spaans en Frans communiceren. De aanvallen maken gebruik van verschillende infectieketens, elk gekenmerkt door verschillende niveaus van complexiteit.

Bij het infiltreren van systemen arriveert Jkwerlo doorgaans in de vorm van een relatief compact uitvoerbaar bestand, variërend van 5 tot 6 megabytes, slim vermomd met een PDF-documentpictogram. De malware is voor het uitvoeren van zijn bedreigende activiteiten sterk afhankelijk van PowerShell-opdrachten en is veelzijdig in het uitvoeren van een reeks opdrachten.

Een opvallend kenmerk van Jkwerlo is de mogelijkheid om processen te beëindigen, vooral processen die verband houden met actief geopende bestanden, zoals databaseprogramma's en tekstbestandlezers. Door dit te doen, vermijdt de ransomware op strategische wijze vrijstellingen voor encryptie die kunnen voortvloeien uit bestanden die als 'in gebruik' worden beschouwd. Bovendien neemt het programma aanvullende maatregelen om de impact ervan te vergroten, zoals het verwijderen van de schaduwvolumekopieën, waardoor een mogelijke mogelijkheid tot herstel wordt geëlimineerd.

In zijn zoektocht naar doorzettingsvermogen en ontwijking wijzigt Jkwerlo de Boot Configuration Data (BCD), waardoor cruciale beveiligingscomponenten zoals Microsoft Defender Antivirus, inclusief Controlled Folder Access, worden uitgeschakeld. Bovendien probeert het de uitvoerbare bestanden voor Taakbeheer (Taskmgr.exe) en Resource Monitor (Resmon.exe) te verwijderen, wat de mitigatie- en detectie-inspanningen voor beveiligingsprofessionals nog ingewikkelder maakt. Deze veelzijdige aanpak onderstreept de verfijning van de ransomware en vergroot het belang van robuuste cyberbeveiligingsmaatregelen om de schadelijke activiteiten ervan tegen te gaan.

De Jkwerlo Ransomware probeert losgeld af te persen van zijn slachtoffers

De losgeldbrief van Jkwerlo communiceert expliciet dat de ontoegankelijk gemaakte bestanden zijn versleuteld, waarbij wordt gewaarschuwd voor pogingen tot handmatige decodering vanwege het risico dat de gegevens onherstelbaar worden gemaakt. De sleutel tot het herstellen van deze bestanden ligt in het bezit van de decoderingssleutel, een cruciaal onderdeel dat door de aanvallers wordt beschermd. Om deze sleutel te verkrijgen, moeten de slachtoffers losgeld betalen. Zodra het geld is overgemaakt, zorgen de cybercriminelen ervoor dat de decoderingstools en bijbehorende instructies binnen een tijdsbestek van 24 uur worden geleverd.

Ondanks deze beloften benadrukken onderzoekers op het gebied van informatiebeveiliging de algemene onmogelijkheid van decodering zonder de directe betrokkenheid van de cybercriminelen. Gevallen waarin decodering mogelijk is, betreft meestal zeer gebrekkige ransomware, wat een zeldzaamheid is.

Wat de risico's nog groter maakt, is dat slachtoffers vaak niet over de benodigde sleutels of hulpmiddelen beschikken om hun gegevens te decoderen, zelfs nadat ze aan de losgeldeisen hebben voldaan. Bijgevolg raden deskundigen het ten zeerste af om aan deze eisen te voldoen, waarbij ze de nadruk leggen op het gebrek aan zekerheid over succesvol bestandsherstel en de onbedoelde steun voor criminele activiteiten door middel van losgeldbetalingen.

Hoewel het verwijderen van de ransomware uit het besturingssysteem een noodzakelijke stap is om verdere gegevensversleuteling te voorkomen, is het essentieel op te merken dat verwijdering alleen de reeds getroffen bestanden niet automatisch herstelt. De aanbevolen oplossing in dergelijke gevallen is om het bestandsherstel te starten vanaf een eerder gemaakte back-up, op voorwaarde dat deze bestaat en op een aparte en veilige locatie is opgeslagen. Deze aanpak zorgt voor een betrouwbaardere en effectievere manier voor gegevensherstel zonder de cyclus van losgeldbetalingen en criminele activiteiten in stand te houden.

De losgeldbrief gegenereerd door de Jkwerlo Ransomware is:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

De Spaanse variant van het losgeldbriefje is:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Er is ook een Franstalige variant van Jkwerlo's losgeldbriefje:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'