Jkwerlo Ransomware

O Jkwerlo é identificado como um programa inseguro que se enquadra na categoria de ransomware. Sua principal funcionalidade gira em torno da criptografia de dados e, posteriormente, da exigência de pagamento em troca da descriptografia. Ao contrário de muitas outras variantes de ransomware que normalmente alteram os títulos dos arquivos bloqueados anexando extensões, o Jkwerlo se distingue por evitar modificar os nomes originais dos arquivos afetados. Após a conclusão do processo de criptografia, este ransomware específico gera uma nota de resgate intitulada 'IMPORTANT_README.txt'. A nota serve como meio para os invasores se comunicarem com a vítima, descrevendo os termos e condições do pagamento do resgate e fornecendo instruções sobre como proceder com o processo de descriptografia.

O Jkwerlo Ransomware Exibe Funções Prejudiciais e Sofisticadas

Jkwerlo se destaca como uma variedade sofisticada de ransomware, apresentando um nível de complexidade em suas operações. Notavelmente, foi observado direcionamento a usuários que se comunicam em espanhol e francês. Os ataques empregam cadeias de infecção distintas, cada uma caracterizada por vários níveis de complexidade.

Ao se infiltrar em sistemas, o Jkwerlo normalmente chega na forma de um executável relativamente compacto, variando de 5 a 6 megabytes, habilmente disfarçado com um ícone de documento PDF. O malware depende fortemente dos comandos do PowerShell para realizar suas atividades ameaçadoras, exibindo versatilidade na execução de uma série de comandos.

Uma característica notável do Jkwerlo é a capacidade de encerrar processos, especialmente aqueles associados a arquivos abertos ativamente, como programas de banco de dados e leitores de arquivos de texto. Ao fazer isso, o ransomware evita estrategicamente isenções de criptografia que podem surgir de arquivos considerados “em uso”. Além disso, o programa toma medidas adicionais para aumentar o seu impacto, como a exclusão de Shadow Volume Copies, eliminando um caminho potencial para recuperação.

Em sua busca por persistência e evasão, Jkwerlo modifica os dados de configuração de inicialização (BCD), desativando componentes de segurança cruciais como o Microsoft Defender Antivirus, incluindo o acesso controlado a pastas. Além disso, ele tenta excluir os executáveis do Gerenciador de Tarefas (Taskmgr.exe) e do Monitor de Recursos (Resmon.exe), complicando ainda mais os esforços de mitigação e detecção dos profissionais de segurança. Esta abordagem multifacetada sublinha a sofisticação do ransomware e aumenta a importância de medidas robustas de segurança cibernética para neutralizar as suas atividades prejudiciais.

O Jkwerlo Ransomware Tenta Extorquir Pagamentos de Resgate de Suas Vítimas

A nota de resgate de Jkwerlo comunica explicitamente que os ficheiros tornados inacessíveis foram encriptados, alertando contra qualquer tentativa de desencriptação manual devido ao risco de tornar os dados irrecuperáveis. A chave para recuperar esses arquivos está na posse da chave de descriptografia, um componente crucial protegido pelos invasores. Para obter esta chave, as vítimas são obrigadas a pagar um resgate. Assim que os fundos são transferidos, os cibercriminosos garantem a entrega das ferramentas de desencriptação e das instruções que as acompanham num prazo de 24 horas.

Apesar destas promessas, os investigadores de segurança da informação enfatizam a impossibilidade geral de desencriptação sem o envolvimento direto dos cibercriminosos. Os casos em que a descriptografia é viável geralmente envolvem ransomware profundamente falho, o que é uma raridade.

Para agravar os riscos, as vítimas muitas vezes ficam sem as chaves ou ferramentas necessárias para desencriptar os seus dados, mesmo depois de cumprirem os pedidos de resgate. Consequentemente, os especialistas desencorajam fortemente a sucumbição a estas exigências, enfatizando a falta de garantia na recuperação bem sucedida de ficheiros e o apoio não intencional a actividades criminosas através de pagamentos de resgate.

Embora a remoção do ransomware do sistema operacional seja uma etapa necessária para evitar mais criptografia de dados, é essencial observar que a remoção por si só não restaura automaticamente os arquivos já afetados. A solução recomendada nesses casos é iniciar a recuperação de arquivos a partir de um backup criado anteriormente, desde que exista e esteja armazenado em um local separado e seguro. Esta abordagem garante um meio mais confiável e eficaz de restauração de dados sem perpetuar o ciclo de pagamentos de resgate e atividades criminosas.

A nota de resgate gerada pelo Jkwerlo Ransomware é:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

A variante espanhola da nota de resgate é:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Há também uma variante em francês da nota de resgate de Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'