Jkwerlo Ransomware

Jkwerlo je opredeljen kot nevaren program, ki spada v kategorijo izsiljevalske programske opreme. Njegova primarna funkcionalnost se vrti okoli šifriranja podatkov in kasnejšega zahtevanja plačila v zameno za dešifriranje. Za razliko od mnogih drugih različic izsiljevalske programske opreme, ki običajno spremenijo naslove zaklenjenih datotek z dodajanjem končnic, se Jkwerlo razlikuje po tem, da se vzdrži spreminjanja izvirnih imen prizadetih datotek. Po zaključku postopka šifriranja ta določena izsiljevalska programska oprema ustvari obvestilo o odkupnini z naslovom 'IMPORTANT_README.txt.' Beležka služi kot sredstvo za komunikacijo napadalcev z žrtvijo, ki opisuje pogoje in določila za plačilo odkupnine ter zagotavlja navodila, kako nadaljevati s postopkom dešifriranja.

Izsiljevalska programska oprema Jkwerlo prikazuje prefinjene škodljive funkcije

Jkwerlo izstopa kot sofisticirana različica izsiljevalske programske opreme, ki prikazuje stopnjo kompleksnosti svojih operacij. Predvsem so opazili, da cilja na uporabnike, ki komunicirajo v španščini in francoščini. Napadi uporabljajo različne verige okužb, za vsako pa so značilne različne stopnje zapletenosti.

Ko se infiltrira v sisteme, Jkwerlo običajno prispe v obliki razmeroma kompaktne izvršljive datoteke, velike od 5 do 6 megabajtov, ki je spretno prikrita z ikono dokumenta PDF. Zlonamerna programska oprema se pri izvajanju svojih grozečih dejavnosti močno zanaša na ukaze PowerShell, pri čemer izkazuje vsestranskost pri izvajanju vrste ukazov.

Ena od pomembnih lastnosti Jkwerlo je njegova sposobnost prekinitve procesov, zlasti tistih, ki so povezani z aktivno odprtimi datotekami, kot so programi za zbirke podatkov in bralniki besedilnih datotek. S tem se izsiljevalska programska oprema strateško izogne izjemam pri šifriranju, ki lahko nastanejo zaradi datotek, ki se štejejo za "v uporabi". Poleg tega program sprejme dodatne ukrepe za povečanje svojega učinka, kot je brisanje kopij senčnih nosilcev, s čimer se odpravi morebitna pot za obnovitev.

V svojem iskanju vztrajnosti in izogibanja Jkwerlo spremeni podatke o konfiguraciji zagona (BCD) in onemogoči ključne varnostne komponente, kot je protivirusni program Microsoft Defender, vključno z nadzorovanim dostopom do map. Poleg tega poskuša izbrisati izvršljive datoteke za upravitelja opravil (Taskmgr.exe) in nadzornik virov (Resmon.exe), kar dodatno oteži prizadevanja za ublažitev in odkrivanje varnostnih strokovnjakov. Ta večplastni pristop poudarja prefinjenost izsiljevalske programske opreme in povečuje pomen robustnih ukrepov kibernetske varnosti za preprečevanje njenih škodljivih dejavnosti.

Izsiljevalska programska oprema Jkwerlo poskuša od svojih žrtev izsiliti plačilo odkupnine

Jkwerlo-jevo obvestilo o odkupnini izrecno sporoča, da so bile datoteke, ki so postale nedostopne, šifrirane, svarilo pred kakršnimi koli poskusi ročnega dešifriranja zaradi nevarnosti, da bi podatki postali nepovratni. Ključ do obnovitve teh datotek je v posedovanju ključa za dešifriranje, ključne komponente, ki jo varujejo napadalci. Za pridobitev tega ključa so žrtve prisiljene plačati odkupnino. Ko so sredstva nakazana, kibernetski kriminalci zagotovijo dostavo orodij za dešifriranje in spremljajočih navodil v 24-urnem časovnem okviru.

Kljub tem obljubam raziskovalci informacijske varnosti poudarjajo splošno nezmožnost dešifriranja brez neposrednega sodelovanja kiberkriminalcev. Primeri, ko je dešifriranje izvedljivo, običajno vključujejo globoko pokvarjeno izsiljevalsko programsko opremo, kar je redkost.

Tveganja še povečujejo, žrtve se pogosto znajdejo brez potrebnih ključev ali orodij za dešifriranje svojih podatkov, tudi potem ko izpolnijo zahteve po odkupnini. Posledično strokovnjaki močno odsvetujejo podleganje tem zahtevam, pri čemer poudarjajo pomanjkanje zagotovila za uspešno obnovitev datotek in nenamerno podporo kriminalnim dejavnostim s plačili odkupnine.

Medtem ko je odstranitev izsiljevalske programske opreme iz operacijskega sistema nujen korak za preprečitev nadaljnjega šifriranja podatkov, je pomembno upoštevati, da sama odstranitev ne obnovi samodejno že prizadetih datotek. Priporočena rešitev v takšnih primerih je začetek obnovitve datoteke iz predhodno ustvarjene varnostne kopije, pod pogojem, da ta obstaja in je shranjena na ločeni in varni lokaciji. Ta pristop zagotavlja zanesljivejše in učinkovitejše sredstvo za obnovitev podatkov brez ohranjanja cikla odkupnin in kriminalnih dejavnosti.

Opomba o odkupnini, ki jo ustvari izsiljevalska programska oprema Jkwerlo, je:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Španska različica obvestila o odkupnini je:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Obstaja tudi francoska različica Jkwerlovega obvestila o odkupnini:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'