Jkwerlo Ransomware

Ang Jkwerlo ay kinilala bilang isang hindi ligtas na programa na nasa ilalim ng kategorya ng ransomware. Ang pangunahing pag-andar nito ay umiikot sa pag-encrypt ng data at kasunod na paghingi ng bayad bilang kapalit ng pag-decryption. Hindi tulad ng maraming iba pang variant ng ransomware na karaniwang binabago ang mga pamagat ng mga naka-lock na file sa pamamagitan ng pagdaragdag ng mga extension, nakikilala ni Jkwerlo ang sarili nito sa pamamagitan ng pag-iwas sa pagbabago sa mga orihinal na pangalan ng mga apektadong file. Sa pagkumpleto ng proseso ng pag-encrypt, ang partikular na ransomware na ito ay bumubuo ng isang ransom note na pinamagatang 'IMPORTANT_README.txt.' Ang tala ay nagsisilbing paraan para makipag-ugnayan ang mga umaatake sa biktima, na binabalangkas ang mga tuntunin at kundisyon para sa pagbabayad ng ransom at nagbibigay ng mga tagubilin kung paano magpatuloy sa proseso ng pag-decryption.

Ang Jkwerlo Ransomware ay Nagpapakita ng Mga Sopistikadong Nakakapinsalang Function

Namumukod-tangi ang Jkwerlo bilang isang sopistikadong ransomware strain, na nagpapakita ng antas ng pagiging kumplikado sa mga operasyon nito. Kapansin-pansin, ito ay naobserbahang nagta-target sa mga user na nakikipag-usap sa Spanish at French. Ang mga pag-atake ay gumagamit ng natatanging mga kadena ng impeksyon, bawat isa ay nailalarawan sa pamamagitan ng iba't ibang antas ng pagiging kumplikado.

Kapag nag-infiltrate sa mga system, kadalasang dumarating ang Jkwerlo sa anyo ng isang medyo compact na executable, mula 5 hanggang 6 megabytes, matalinong nakabalatkayo gamit ang isang icon na PDF na dokumento. Lubos na umaasa ang malware sa mga utos ng PowerShell upang isagawa ang mga aktibidad nitong nagbabanta, na nagpapakita ng versatility sa pagpapatupad ng isang hanay ng mga command.

Ang isang kapansin-pansing tampok ng Jkwerlo ay ang kakayahang wakasan ang mga proseso, lalo na ang mga nauugnay sa aktibong binuksan na mga file, tulad ng mga database program at mga text file reader. Sa paggawa nito, madiskarteng iniiwasan ng ransomware ang mga pagbubukod sa pag-encrypt na maaaring magmula sa mga file na itinuturing na 'ginagamit.' Higit pa rito, ang programa ay nagsasagawa ng mga karagdagang hakbang upang mapahusay ang epekto nito, tulad ng pagtanggal ng Shadow Volume Copies, pag-aalis ng potensyal na paraan para sa pagbawi.

Sa paghahanap nito para sa pagpupursige at pag-iwas, binago ni Jkwerlo ang Boot Configuration Data (BCD), hindi pinapagana ang mahahalagang bahagi ng seguridad tulad ng Microsoft Defender Antivirus, kabilang ang Controlled Folder Access. Bukod pa rito, sinusubukan nitong tanggalin ang mga executable para sa Task Manager (Taskmgr.exe) at Resource Monitor (Resmon.exe), na lalong nagpapakumplikado sa mga pagsusumikap sa pagpapagaan at pagtuklas para sa mga propesyonal sa seguridad. Ang multi-faceted na diskarte na ito ay binibigyang-diin ang pagiging sopistikado ng ransomware at pinahuhusay ang kahalagahan ng matatag na mga hakbang sa cybersecurity upang malabanan ang mga masasakit na aktibidad nito.

Sinusubukan ng Jkwerlo Ransomware na Mangingikil ng Mga Pagbabayad ng Ransom mula sa Mga Biktima Nito

Ang ransom note ni Jkwerlo ay tahasang ipinapaalam na ang mga file na nai-render na hindi naa-access ay sumailalim sa pag-encrypt, na nagbabala laban sa anumang mga pagtatangka sa manual decryption dahil sa panganib ng pag-render ng data na hindi na mababawi. Ang susi sa pagbawi ng mga file na ito ay nasa pagkakaroon ng decryption key, isang mahalagang bahagi na pinangangalagaan ng mga umaatake. Upang makuha ang susi na ito, ang mga biktima ay napipilitang magbayad ng ransom. Kapag nailipat na ang mga pondo, tinitiyak ng mga cybercriminal ang paghahatid ng mga tool sa pag-decryption at mga kasamang tagubilin sa loob ng 24 na oras na takdang panahon.

Sa kabila ng mga pangakong ito, binibigyang-diin ng mga mananaliksik ng seguridad ng impormasyon ang pangkalahatang imposibilidad ng pag-decryption nang walang direktang paglahok ng mga cybercriminal. Ang mga pagkakataon kung saan posible ang pag-decryption ay karaniwang may kasamang malalim na depekto na ransomware, na isang pambihira.

Pinagsasama ang mga panganib, kadalasang nakikita ng mga biktima ang kanilang mga sarili na walang kinakailangang mga susi o tool upang i-decrypt ang kanilang data, kahit na pagkatapos na sumunod sa mga hinihingi ng ransom. Dahil dito, mahigpit na hindi hinihikayat ng mga eksperto ang pagsuko sa mga kahilingang ito, na binibigyang-diin ang kawalan ng kasiguruhan sa matagumpay na pagbawi ng file at ang hindi sinasadyang suporta para sa mga kriminal na aktibidad sa pamamagitan ng mga pagbabayad ng ransom.

Habang ang pag-alis ng ransomware mula sa operating system ay isang kinakailangang hakbang upang maiwasan ang karagdagang pag-encrypt ng data, mahalagang tandaan na ang pag-alis lamang ay hindi awtomatikong nagpapanumbalik ng mga file na naapektuhan na. Ang inirerekomendang solusyon sa mga ganitong kaso ay simulan ang pagbawi ng file mula sa isang naunang ginawang backup, sa kondisyon na mayroon ito at nakaimbak sa isang hiwalay at secure na lokasyon. Tinitiyak ng diskarteng ito ang isang mas maaasahan at epektibong paraan ng pagpapanumbalik ng data nang hindi pinagpapatuloy ang cycle ng mga pagbabayad ng ransom at aktibidad na kriminal.

Ang ransom note na nabuo ng Jkwerlo Ransomware ay:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Ang Spanish na variant ng ransom note ay:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Mayroon ding variant sa wikang Pranses ng ransom note ni Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'