Oprogramowanie ransomware Jkwerlo

Jkwerlo jest identyfikowany jako niebezpieczny program należący do kategorii oprogramowania ransomware. Jego podstawowa funkcjonalność polega na szyfrowaniu danych, a następnie żądaniu zapłaty w zamian za odszyfrowanie. W przeciwieństwie do wielu innych wariantów oprogramowania ransomware, które zazwyczaj zmieniają tytuły zablokowanych plików poprzez dodawanie rozszerzeń, Jkwerlo wyróżnia się powstrzymywaniem się od modyfikowania oryginalnych nazw plików, których dotyczy problem. Po zakończeniu procesu szyfrowania to konkretne oprogramowanie ransomware generuje notatkę z żądaniem okupu zatytułowaną „IMPORTANT_README.txt”. Notatka służy atakującym jako środek komunikacji z ofiarą, przedstawiając warunki płatności okupu i dostarczając instrukcje dotyczące dalszego procesu odszyfrowywania.

Ransomware Jkwerlo wyświetla wyrafinowane szkodliwe funkcje

Jkwerlo wyróżnia się jako wyrafinowana odmiana oprogramowania ransomware, wykazująca poziom złożoności swoich operacji. W szczególności zaobserwowano, że reklamy są kierowane do użytkowników porozumiewających się w języku hiszpańskim i francuskim. Ataki wykorzystują odrębne łańcuchy infekcji, z których każdy charakteryzuje się różnym poziomem złożoności.

Podczas infiltracji systemów Jkwerlo zwykle pojawia się w postaci stosunkowo niewielkiego pliku wykonywalnego o rozmiarze od 5 do 6 megabajtów, sprytnie zamaskowanego ikoną dokumentu PDF. Szkodnik w dużym stopniu opiera się na poleceniach programu PowerShell w celu wykonywania swoich niebezpiecznych działań, wykazując się wszechstronnością w wykonywaniu szeregu poleceń.

Godną uwagi cechą Jkwerlo jest możliwość kończenia procesów, szczególnie tych związanych z aktywnie otwieranymi plikami, takimi jak programy bazodanowe i czytniki plików tekstowych. W ten sposób ransomware strategicznie unika wyjątków w zakresie szyfrowania, które mogą wynikać z plików uznawanych za „w użyciu”. Co więcej, program podejmuje dodatkowe środki w celu zwiększenia swojego wpływu, takie jak usuwanie kopii woluminów w tle, eliminując potencjalną możliwość odzyskania.

W dążeniu do trwałości i unikania Jkwerlo modyfikuje dane konfiguracji rozruchu (BCD), wyłączając kluczowe komponenty bezpieczeństwa, takie jak program antywirusowy Microsoft Defender, w tym kontrolowany dostęp do folderów. Ponadto próbuje usunąć pliki wykonywalne Menedżera zadań (Taskmgr.exe) i Monitora zasobów (Resmon.exe), co jeszcze bardziej komplikuje wysiłki specjalistów ds. bezpieczeństwa w zakresie łagodzenia skutków i wykrywania. To wieloaspektowe podejście podkreśla wyrafinowanie oprogramowania ransomware i zwiększa znaczenie solidnych środków cyberbezpieczeństwa w celu przeciwdziałania jego szkodliwym działaniom.

Ransomware Jkwerlo próbuje wyłudzić okup od swoich ofiar

W nocie okupu Jkwerlo wyraźnie informuje, że niedostępne pliki zostały zaszyfrowane, ostrzegając przed wszelkimi próbami ręcznego odszyfrowania ze względu na ryzyko nieodwracalności danych. Kluczem do odzyskania tych plików jest posiadanie klucza deszyfrującego, kluczowego elementu chronionego przez atakujących. Aby uzyskać ten klucz, ofiary są zmuszone zapłacić okup. Po przesłaniu środków cyberprzestępcy zapewniają dostawę narzędzi deszyfrujących i towarzyszących im instrukcji w ciągu 24 godzin.

Pomimo tych obietnic badacze bezpieczeństwa informacji podkreślają ogólną niemożność odszyfrowania bez bezpośredniego zaangażowania cyberprzestępców. Przypadki, w których odszyfrowanie jest możliwe, zwykle dotyczą oprogramowania ransomware z poważnymi wadami, co jest rzadkością.

Co więcej, ofiary często nie mają niezbędnych kluczy ani narzędzi do odszyfrowania swoich danych, nawet po spełnieniu żądania okupu. W związku z tym eksperci zdecydowanie odradzają uleganie tym żądaniom, podkreślając brak pewności skutecznego odzyskania plików oraz niezamierzone wspieranie działalności przestępczej poprzez zapłatę okupu.

Chociaż usunięcie oprogramowania ransomware z systemu operacyjnego jest niezbędnym krokiem, aby zapobiec dalszemu szyfrowaniu danych, należy pamiętać, że samo usunięcie nie przywraca automatycznie plików, których już dotyczy. Zalecanym rozwiązaniem w takich przypadkach jest rozpoczęcie odzyskiwania plików z wcześniej utworzonej kopii zapasowej, pod warunkiem, że taka istnieje i jest przechowywana w osobnej i bezpiecznej lokalizacji. Takie podejście zapewnia bardziej niezawodny i skuteczny sposób przywracania danych bez utrwalania cyklu płacenia okupu i działalności przestępczej.

Notatka o okupie wygenerowana przez Jkwerlo Ransomware to:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Hiszpański wariant żądania okupu to:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Istnieje również francuskojęzyczna wersja żądania okupu Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'