Jkwerlo-вымогатель

Jkwerlo идентифицируется как небезопасная программа, подпадающая под категорию программ-вымогателей. Его основная функция заключается в шифровании данных и последующем требовании оплаты в обмен на расшифровку. В отличие от многих других вариантов программ-вымогателей, которые обычно изменяют названия заблокированных файлов путем добавления расширений, Jkwerlo отличается тем, что воздерживается от изменения исходных имен затронутых файлов. По завершении процесса шифрования эта конкретная программа-вымогатель генерирует записку о выкупе под названием «IMPORTANT_README.txt». Записка служит для злоумышленников средством связи с жертвой, в ней излагаются условия выплаты выкупа и предоставляются инструкции о том, как продолжить процесс расшифровки.

Программа-вымогатель Jkwerlo демонстрирует сложные вредоносные функции

Jkwerlo выделяется как изощренный вариант программы-вымогателя, демонстрируя уровень сложности его операций. Примечательно, что было замечено, что оно нацелено на пользователей, общающихся на испанском и французском языках. В атаках используются отдельные цепочки заражения, каждая из которых характеризуется разным уровнем сложности.

При проникновении в системы Jkwerlo обычно представляет собой относительно компактный исполняемый файл размером от 5 до 6 мегабайт, искусно замаскированный значком PDF-документа. Вредоносная программа в значительной степени полагается на команды PowerShell для выполнения своих угрожающих действий, демонстрируя гибкость в выполнении ряда команд.

Одной из примечательных особенностей Jkwerlo является его способность завершать процессы, особенно те, которые связаны с активно открытыми файлами, например программы баз данных и программы чтения текстовых файлов. Поступая таким образом, программа-вымогатель стратегически избегает исключений из шифрования, которые могут возникнуть в отношении файлов, считающихся «используемыми». Кроме того, программа принимает дополнительные меры для усиления своего воздействия, такие как удаление теневых копий томов, исключая потенциальный путь к восстановлению.

В своем стремлении к устойчивости и уклонению Jkwerlo изменяет данные конфигурации загрузки (BCD), отключая важные компоненты безопасности, такие как антивирусная программа Microsoft Defender, включая контролируемый доступ к папкам. Кроме того, он пытается удалить исполняемые файлы диспетчера задач (Taskmgr.exe) и монитора ресурсов (Resmon.exe), что еще больше усложняет усилия по предотвращению и обнаружению угроз для специалистов по безопасности. Такой многогранный подход подчеркивает изощренность программы-вымогателя и повышает важность надежных мер кибербезопасности для противодействия ее вредоносной деятельности.

Программа-вымогатель Jkwerlo пытается вымогать выкуп у своих жертв

В записке Джкверло с требованием выкупа прямо сообщается, что файлы, ставшие недоступными, были зашифрованы, и предостерегается от любых попыток расшифровки вручную из-за риска сделать данные безвозвратными. Ключом к восстановлению этих файлов является наличие ключа дешифрования — важнейшего компонента, защищаемого злоумышленниками. Чтобы получить этот ключ, жертвы вынуждены заплатить выкуп. После перевода средств киберпреступники гарантируют доставку инструментов расшифровки и сопроводительных инструкций в течение 24 часов.

Несмотря на эти обещания, исследователи информационной безопасности подчеркивают общую невозможность расшифровки без непосредственного участия киберпреступников. Случаи, когда расшифровка возможна, обычно связаны с глубоко ошибочными программами-вымогателями, что является редкостью.

Риски усугубляются тем, что жертвы часто оказываются без необходимых ключей или инструментов для расшифровки своих данных, даже после выполнения требований о выкупе. Следовательно, эксперты настоятельно не рекомендуют поддаваться этим требованиям, подчеркивая отсутствие уверенности в успешном восстановлении файлов и непреднамеренную поддержку преступной деятельности посредством выплаты выкупа.

Хотя удаление программы-вымогателя из операционной системы является необходимым шагом для предотвращения дальнейшего шифрования данных, важно отметить, что само по себе удаление не приводит к автоматическому восстановлению уже затронутых файлов. Рекомендуемое решение в таких случаях — инициировать восстановление файлов из ранее созданной резервной копии, при условии, что она существует и хранится в отдельном и безопасном месте. Такой подход обеспечивает более надежные и эффективные средства восстановления данных без продолжения цикла выкупов и преступной деятельности.

Записка с требованием выкупа, созданная программой-вымогателем Jkwerlo:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Испанский вариант записки о выкупе:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Существует также французский вариант записки о выкупе Джкверло:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'