Jkwerlo Ransomware

Jkwerlo ถูกระบุว่าเป็นโปรแกรมที่ไม่ปลอดภัยซึ่งจัดอยู่ในประเภทของแรนซัมแวร์ ฟังก์ชันหลักเกี่ยวข้องกับการเข้ารหัสข้อมูลและเรียกร้องการชำระเงินเพื่อแลกกับการถอดรหัสในภายหลัง แตกต่างจากแรนซั่มแวร์ตัวอื่น ๆ ที่มักจะเปลี่ยนชื่อของไฟล์ที่ถูกล็อคโดยการต่อท้ายส่วนขยาย Jkwerlo แยกแยะความแตกต่างด้วยการละเว้นจากการแก้ไขชื่อดั้งเดิมของไฟล์ที่ได้รับผลกระทบ เมื่อเสร็จสิ้นกระบวนการเข้ารหัส แรนซัมแวร์นี้จะสร้างบันทึกเรียกค่าไถ่ชื่อ 'IMPORTANT_README.txt' บันทึกดังกล่าวทำหน้าที่เป็นช่องทางสำหรับผู้โจมตีในการสื่อสารกับเหยื่อ โดยสรุปข้อกำหนดและเงื่อนไขสำหรับการชำระค่าไถ่ และให้คำแนะนำเกี่ยวกับวิธีดำเนินการตามกระบวนการถอดรหัส

Jkwerlo Ransomware แสดงฟังก์ชันที่เป็นอันตรายที่ซับซ้อน

Jkwerlo โดดเด่นในฐานะแรนซัมแวร์สายพันธุ์ที่ซับซ้อน โดยแสดงให้เห็นถึงระดับความซับซ้อนในการดำเนินงาน โดยเฉพาะอย่างยิ่ง มีการตั้งเป้าไปที่ผู้ใช้ที่สื่อสารเป็นภาษาสเปนและฝรั่งเศส การโจมตีใช้สายโซ่การติดเชื้อที่แตกต่างกัน โดยแต่ละสายมีลักษณะเฉพาะด้วยระดับความซับซ้อนที่แตกต่างกัน

เมื่อแทรกซึมระบบ Jkwerlo มักจะมาในรูปแบบของไฟล์ปฏิบัติการที่ค่อนข้างกะทัดรัด โดยมีขนาดตั้งแต่ 5 ถึง 6 เมกะไบต์ ซึ่งปลอมตัวอย่างชาญฉลาดด้วยไอคอนเอกสาร PDF มัลแวร์อาศัยคำสั่ง PowerShell อย่างมากในการดำเนินกิจกรรมที่เป็นอันตราย ซึ่งแสดงให้เห็นถึงความคล่องตัวในการรันคำสั่งต่างๆ

คุณลักษณะเด่นอย่างหนึ่งของ Jkwerlo คือความสามารถในการยุติกระบวนการ โดยเฉพาะอย่างยิ่งกระบวนการที่เกี่ยวข้องกับไฟล์ที่เปิดอยู่ เช่น โปรแกรมฐานข้อมูลและเครื่องอ่านไฟล์ข้อความ การทำเช่นนี้จะทำให้แรนซัมแวร์หลีกเลี่ยงการยกเว้นการเข้ารหัสที่อาจเกิดขึ้นจากไฟล์ที่พิจารณาว่า 'ใช้งานอยู่' อย่างมีกลยุทธ์ นอกจากนี้ โปรแกรมยังใช้มาตรการเพิ่มเติมเพื่อปรับปรุงผลกระทบ เช่น การลบ Shadow Volume Copies ขจัดช่องทางที่เป็นไปได้ในการกู้คืน

ในการแสวงหาความคงอยู่และการหลีกเลี่ยง Jkwerlo ได้แก้ไขข้อมูลการกำหนดค่าการบูต (BCD) โดยปิดการใช้งานส่วนประกอบด้านความปลอดภัยที่สำคัญ เช่น Microsoft Defender Antivirus รวมถึงการเข้าถึงโฟลเดอร์ที่ควบคุม นอกจากนี้ ยังพยายามลบไฟล์ปฏิบัติการสำหรับ Task Manager (Taskmgr.exe) และ Resource Monitor (Resmon.exe) ซึ่งทำให้การบรรเทาและการตรวจจับมีความซับซ้อนยิ่งขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัย แนวทางที่มีหลายแง่มุมนี้เน้นย้ำถึงความซับซ้อนของแรนซัมแวร์ และเพิ่มความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อต่อต้านกิจกรรมที่เป็นอันตราย

Jkwerlo Ransomware พยายามรีดไถค่าไถ่จากเหยื่อ

บันทึกค่าไถ่ของ Jkwerlo สื่อสารอย่างชัดเจนว่าไฟล์ที่ไม่สามารถเข้าถึงได้นั้นได้รับการเข้ารหัส โดยเตือนไม่ให้พยายามถอดรหัสด้วยตนเองเนื่องจากมีความเสี่ยงที่จะทำให้ข้อมูลไม่สามารถกู้คืนได้ กุญแจสำคัญในการกู้คืนไฟล์เหล่านี้อยู่ที่การครอบครองคีย์ถอดรหัสซึ่งเป็นองค์ประกอบสำคัญที่ได้รับการปกป้องโดยผู้โจมตี เพื่อให้ได้กุญแจนี้ เหยื่อจะถูกบังคับให้ชำระค่าไถ่ เมื่อโอนเงินแล้ว อาชญากรไซเบอร์จะรับประกันการจัดส่งเครื่องมือถอดรหัสและคำแนะนำที่แนบมาภายในระยะเวลา 24 ชั่วโมง

แม้จะมีคำสัญญาเหล่านี้ แต่นักวิจัยด้านความปลอดภัยของข้อมูลก็เน้นย้ำถึงความเป็นไปไม่ได้โดยทั่วไปของการถอดรหัสโดยไม่ต้องมีส่วนร่วมโดยตรงจากอาชญากรไซเบอร์ อินสแตนซ์ที่สามารถถอดรหัสได้มักจะเกี่ยวข้องกับแรนซัมแวร์ที่มีข้อบกพร่องอย่างลึกซึ้ง ซึ่งเป็นสิ่งที่หายาก

เมื่อรวมความเสี่ยงเข้าด้วยกัน เหยื่อมักจะพบว่าตนเองไม่มีคีย์หรือเครื่องมือที่จำเป็นในการถอดรหัสข้อมูลของตน แม้ว่าจะปฏิบัติตามข้อเรียกร้องค่าไถ่แล้วก็ตาม ด้วยเหตุนี้ ผู้เชี่ยวชาญจึงไม่สนับสนุนอย่างยิ่งที่จะยอมจำนนต่อความต้องการเหล่านี้ โดยเน้นย้ำถึงการขาดความมั่นใจในการกู้คืนไฟล์ที่ประสบความสำเร็จ และการสนับสนุนกิจกรรมทางอาญาโดยไม่ได้ตั้งใจผ่านการชำระค่าไถ่

แม้ว่าการลบแรนซัมแวร์ออกจากระบบปฏิบัติการเป็นขั้นตอนที่จำเป็นในการป้องกันการเข้ารหัสข้อมูลเพิ่มเติม แต่สิ่งสำคัญคือต้องทราบว่าการลบแรนซัมแวร์เพียงอย่างเดียวจะไม่กู้คืนไฟล์ที่ได้รับผลกระทบโดยอัตโนมัติ วิธีแก้ปัญหาที่แนะนำในกรณีเช่นนี้คือเริ่มการกู้คืนไฟล์จากข้อมูลสำรองที่สร้างไว้ก่อนหน้านี้ โดยมีข้อมูลสำรองที่มีอยู่และจัดเก็บไว้ในตำแหน่งที่แยกต่างหากและปลอดภัย แนวทางนี้ช่วยให้มั่นใจได้ถึงวิธีการกู้คืนข้อมูลที่เชื่อถือได้และมีประสิทธิภาพมากขึ้น โดยไม่ทำให้วงจรการชำระค่าไถ่และกิจกรรมทางอาญายืดเยื้อ

หมายเหตุเรียกค่าไถ่ที่สร้างโดย Jkwerlo Ransomware คือ:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

ตัวแปรภาษาสเปนของบันทึกเรียกค่าไถ่คือ:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

นอกจากนี้ยังมีบันทึกเรียกค่าไถ่ของ Jkwerlo ในรูปแบบภาษาฝรั่งเศส:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'