Jkwerlo Ransomware

Јкверло је идентификован као небезбедан програм који спада у категорију рансомваре-а. Његова примарна функционалност се врти око шифровања података и накнадног захтевања плаћања у замену за дешифровање. За разлику од многих других варијанти рансомваре-а које обично мењају наслове закључаних датотека додавањем екстензија, Јкверло се разликује по томе што се уздржава од мењања оригиналних имена захваћених датотека. По завршетку процеса шифровања, овај одређени рансомваре генерише белешку о откупу под називом „ИМПОРТАНТ_РЕАДМЕ.ткт“. Белешка служи као средство да нападачи комуницирају са жртвом, излажући услове за плаћање откупнине и дајући упутства о томе како да наставе са процесом дешифровања.

Јкверло Рансомваре приказује софистициране штетне функције

Јкверло се истиче као софистицирани сој рансомваре-а, показујући ниво сложености у својим операцијама. Посебно је примећено да циља кориснике који комуницирају на шпанском и француском. Напади користе различите ланце инфекције, од којих сваки карактерише различит ниво замршености.

Када се инфилтрира у системе, Јкверло обично стиже у облику релативно компактног извршног фајла, у распону од 5 до 6 мегабајта, вешто прикривен иконом ПДФ документа. Малвер се у великој мери ослања на ПоверСхелл команде да би извршио своје претеће активности, показујући свестраност у извршавању низа команди.

Једна значајна карактеристика Јкверло-а је његова способност да прекине процесе, посебно оне повезане са активно отвореним датотекама, као што су програми базе података и читачи текстуалних датотека. На тај начин, рансомваре стратешки избегава изузећа код шифровања која могу да настану из датотека које се сматрају „у употреби“. Штавише, програм предузима додатне мере за побољшање свог утицаја, као што је брисање копија у сенци, чиме се елиминише потенцијални пут за опоравак.

У својој потрази за постојаношћу и избегавањем, Јкверло модификује податке о конфигурацији покретања (БЦД), онемогућавајући кључне безбедносне компоненте као што је Мицрософт Дефендер Антивирус, укључујући контролисани приступ фасцикли. Поред тога, покушава да избрише извршне датотеке за Таск Манагер (Таскмгр.еке) и Ресоурце Монитор (Ресмон.еке), што додатно компликује напоре за ублажавање и откривање за професионалце за безбедност. Овај вишеструки приступ наглашава софистицираност рансомваре-а и повећава важност робусних мера сајбер безбедности за сузбијање његових штетних активности.

Јкверло Рансомваре покушава да изнуди откупнину од својих жртава

Јкверло-ова порука о откупнини експлицитно саопштава да су датотеке које су постале недоступне подвргнуте шифровању, упозоравајући на било какве покушаје ручног дешифровања због ризика да подаци буду неповратни. Кључ за опоравак ових датотека лежи у поседовању кључа за дешифровање, кључне компоненте коју чувају нападачи. Да би добиле овај кључ, жртве су принуђене да плате откупнину. Када се средства пренесу, сајбер криминалци обезбеђују испоруку алата за дешифровање и пратећих упутстава у року од 24 сата.

Упркос овим обећањима, истраживачи безбедности информација наглашавају општу немогућност дешифровања без директног учешћа сајбер криминалаца. Случајеви у којима је дешифровање изводљиво обично укључују дубоко погрешан рансомваре, што је реткост.

Повећавајући ризике, жртве се често нађу без неопходних кључева или алата за дешифровање својих података, чак и након што се придржавају захтева за откупнином. Сходно томе, стручњаци снажно обесхрабрују да се подлегну овим захтевима, истичући недостатак сигурности у успешан опоравак досијеа и ненамерну подршку криминалним активностима путем откупнине.

Иако је уклањање рансомваре-а из оперативног система неопходан корак за спречавање даљег шифровања података, битно је напоменути да само уклањање не враћа аутоматски датотеке на које је већ дошло. Препоручено решење у таквим случајевима је покретање опоравка датотеке из претходно креиране резервне копије, под условом да она постоји и да је ускладиштена на засебној и безбедној локацији. Овај приступ осигурава поузданије и ефикасније средство за обнављање података без понављања циклуса плаћања откупнине и криминалних активности.

Порука о откупнини коју генерише Јкверло Рансомваре је:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Шпанска варијанта поруке о откупнини је:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Постоји и варијанта Јкверлоове поруке о откупнини на француском језику:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'