Jkwerlo Ransomware

Jkwerlo este identificat ca un program nesigur care se încadrează în categoria de ransomware. Funcționalitatea sa principală se învârte în jurul criptării datelor și, ulterior, solicitarea plății în schimbul decriptării. Spre deosebire de multe alte variante de ransomware care modifică de obicei titlurile fișierelor blocate prin adăugarea de extensii, Jkwerlo se distinge prin abținerea de la modificarea numelor originale ale fișierelor afectate. La finalizarea procesului de criptare, acest ransomware specific generează o notă de răscumpărare intitulată „IMPORTANT_README.txt”. Nota servește ca mijloc pentru atacatori de a comunica cu victima, subliniind termenii și condițiile pentru plata răscumpărării și oferind instrucțiuni despre cum să procedeze cu procesul de decriptare.

Ransomware-ul Jkwerlo afișează funcții dăunătoare sofisticate

Jkwerlo iese în evidență ca o tulpină de ransomware sofisticată, prezentând un nivel de complexitate în operațiunile sale. În special, s-a observat că vizează utilizatorii care comunică în spaniolă și franceză. Atacurile folosesc lanțuri de infecție distincte, fiecare caracterizat prin niveluri diferite de complexitate.

Când se infiltrează în sisteme, Jkwerlo vine de obicei sub forma unui executabil relativ compact, variind de la 5 până la 6 megaocteți, deghizat inteligent cu o pictogramă de document PDF. Malware-ul se bazează în mare măsură pe comenzile PowerShell pentru a-și desfășura activitățile amenințătoare, manifestând versatilitate în executarea unei game de comenzi.

O caracteristică notabilă a Jkwerlo este capacitatea sa de a termina procesele, în special cele asociate cu fișiere deschise activ, cum ar fi programele de baze de date și cititoarele de fișiere text. Procedând astfel, ransomware-ul evită în mod strategic scutirile de criptare care pot apărea din fișierele considerate „în uz”. În plus, programul ia măsuri suplimentare pentru a-și spori impactul, cum ar fi ștergerea Copiilor Shadow Volume, eliminând o posibilă cale de recuperare.

În căutarea persistenței și evaziunii, Jkwerlo modifică datele de configurare a pornirii (BCD), dezactivând componentele de securitate esențiale precum Microsoft Defender Antivirus, inclusiv accesul controlat la foldere. În plus, încearcă să ștergă fișierele executabile pentru Task Manager (Taskmgr.exe) și Resource Monitor (Resmon.exe), complicând și mai mult eforturile de atenuare și detectare pentru profesioniștii în securitate. Această abordare cu mai multe fațete subliniază sofisticarea ransomware-ului și sporește importanța măsurilor solide de securitate cibernetică pentru a contracara activitățile sale dăunătoare.

Jkwerlo Ransomware încearcă să stocheze plățile de răscumpărare de la victimele sale

Nota de răscumpărare a lui Jkwerlo comunică în mod explicit că fișierele făcute inaccesibile au fost supuse criptării, avertizând împotriva oricăror încercări de decriptare manuală din cauza riscului de a face datele irecuperabile. Cheia pentru recuperarea acestor fișiere constă în posesia cheii de decriptare, o componentă crucială protejată de atacatori. Pentru a obține această cheie, victimele sunt obligate să plătească o răscumpărare. Odată ce fondurile sunt transferate, infractorii cibernetici asigură livrarea instrumentelor de decriptare și a instrucțiunilor însoțitoare într-un interval de 24 de ore.

În ciuda acestor promisiuni, cercetătorii în securitatea informațiilor subliniază imposibilitatea generală a decriptării fără implicarea directă a infractorilor cibernetici. Instanțe în care decriptarea este fezabilă implică de obicei un ransomware profund defecte, ceea ce este o raritate.

Agravând riscurile, victimele se trezesc adesea fără cheile sau instrumentele necesare pentru a-și decripta datele, chiar și după ce au respectat cerințele de răscumpărare. În consecință, experții descurajează ferm să cedeze la aceste solicitări, subliniind lipsa de asigurare în recuperarea cu succes a fișierelor și sprijinul neintenționat pentru activități criminale prin plăți de răscumpărare.

Deși eliminarea ransomware-ului din sistemul de operare este un pas necesar pentru a preveni criptarea ulterioară a datelor, este esențial să rețineți că eliminarea singură nu restabilește automat fișierele deja afectate. Soluția recomandată în astfel de cazuri este să inițiezi recuperarea fișierelor dintr-o copie de rezervă creată anterior, cu condiția să existe una și să fie stocată într-o locație separată și sigură. Această abordare asigură un mijloc mai fiabil și mai eficient de restaurare a datelor fără a perpetua ciclul plăților de răscumpărare și a activității criminale.

Nota de răscumpărare generată de Jkwerlo Ransomware este:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Varianta spaniolă a biletului de răscumpărare este:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Există, de asemenea, o variantă în limba franceză a notei de răscumpărare a lui Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'