Jkwerlo Ransomware
Jkwerlo identifieras som ett osäkert program som faller under kategorin ransomware. Dess primära funktionalitet kretsar kring att kryptera data och därefter kräva betalning i utbyte mot dekryptering. Till skillnad från många andra ransomware-varianter som vanligtvis ändrar titlarna på låsta filer genom att lägga till tillägg, utmärker sig Jkwerlo genom att avstå från att ändra de ursprungliga namnen på de berörda filerna. När krypteringsprocessen har slutförts genererar just denna ransomware en lösennota med titeln 'IMPORTANT_README.txt'. Anteckningen fungerar som ett sätt för angriparna att kommunicera med offret, och beskriver villkoren för lösensumman och ger instruktioner om hur de ska gå vidare med dekrypteringsprocessen.
Jkwerlo Ransomware visar sofistikerade skadliga funktioner
Jkwerlo framstår som en sofistikerad ransomware-stam, som visar upp en nivå av komplexitet i sin verksamhet. Noterbart har det observerats riktat mot användare som kommunicerar på spanska och franska. Attackerna använder sig av distinkta infektionskedjor, var och en kännetecknad av varierande nivåer av intrikat.
När man infiltrerar system kommer Jkwerlo vanligtvis i form av en relativt kompakt körbar fil, från 5 till 6 megabyte, skickligt förklädd med en PDF-dokumentikon. Skadlig programvara är starkt beroende av PowerShell-kommandon för att utföra sina hotfulla aktiviteter, och uppvisar mångsidighet när det gäller att utföra en rad kommandon.
En anmärkningsvärd egenskap hos Jkwerlo är dess förmåga att avsluta processer, särskilt de som är associerade med aktivt öppnade filer, såsom databasprogram och textfilläsare. Genom att göra det undviker ransomwaren strategiskt krypteringsundantag som kan uppstå från filer som anses vara "använda". Dessutom vidtar programmet ytterligare åtgärder för att förbättra dess effekt, som att ta bort Shadow Volume Copies, vilket eliminerar en potentiell återställningsväg.
I sin strävan efter uthållighet och undvikande, modifierar Jkwerlo Boot Configuration Data (BCD), vilket inaktiverar viktiga säkerhetskomponenter som Microsoft Defender Antivirus, inklusive kontrollerad mappåtkomst. Dessutom försöker den ta bort körbara filer för Taskmgr.exe och Resource Monitor (Resmon.exe), vilket ytterligare komplicerar begränsnings- och upptäcktsinsatserna för säkerhetspersonal. Detta mångfacetterade tillvägagångssätt understryker ransomwarens sofistikerade och ökar vikten av robusta cybersäkerhetsåtgärder för att motverka dess skadliga aktiviteter.
Jkwerlo Ransomware försöker pressa ut lösensumma från sina offer
Jkwerlos lösennota kommunicerar uttryckligen att filerna som gjorts otillgängliga har genomgått kryptering, och varnar för alla försök till manuell dekryptering på grund av risken att göra data oåterkallelig. Nyckeln till att återställa dessa filer ligger i besittning av dekrypteringsnyckeln, en avgörande komponent som skyddas av angriparna. För att få denna nyckel tvingas offren att betala en lösensumma. När pengarna väl har överförts säkerställer cyberbrottslingarna leverans av dekrypteringsverktyg och medföljande instruktioner inom en 24-timmars tidsram.
Trots dessa löften betonar informationssäkerhetsforskare den allmänna omöjligheten av dekryptering utan direkt inblandning av cyberbrottslingar. Fall där dekryptering är möjlig involverar vanligtvis djupt defekt ransomware, vilket är en sällsynthet.
För att förvärra riskerna, befinner sig offren ofta utan nödvändiga nycklar eller verktyg för att dekryptera sina data, även efter att ha uppfyllt krav på lösen. Följaktligen avråder experter starkt att ge efter för dessa krav, och betonar bristen på säkerhet för framgångsrik filåterställning och det oavsiktliga stödet för kriminella aktiviteter genom lösenbetalningar.
Även om borttagning av ransomware från operativsystemet är ett nödvändigt steg för att förhindra ytterligare datakryptering, är det viktigt att notera att enbart borttagning inte automatiskt återställer filer som redan påverkats. Den rekommenderade lösningen i sådana fall är att initiera filåterställning från en tidigare skapad säkerhetskopia, förutsatt att en sådan finns och lagras på en separat och säker plats. Detta tillvägagångssätt säkerställer ett mer tillförlitligt och effektivt sätt att återställa data utan att vidmakthålla cykeln av lösensummor och kriminell verksamhet.
Lösennotan som genereras av Jkwerlo Ransomware är:
'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.
When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.
Contact to recover the files:'
Den spanska varianten av lösensedlen är:
'Hola,
Consulte la información vital que he compartido con usted mediante Google Drive.
Abra el archivo para ver los detalles.
Saludos.
AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.
Por favor considere el medio ambiente antes de imprimir este e-mail.'
Det finns också en franskspråkig variant av Jkwerlos lösennota:
'Bonjour,
Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.
Ouvrez le fichier pour afficher les détails.
Salutations.
AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.
Pensez à l'environnement avant d'imprimer cet e-mail.'
