Jkwerlo Ransomware

Jkwerlo, fidye yazılımı kategorisine giren güvenli olmayan bir program olarak tanımlanıyor. Birincil işlevi, verileri şifrelemek ve ardından şifre çözme karşılığında ödeme talep etmek etrafında döner. Kilitli dosyaların başlıklarını uzantılar ekleyerek değiştiren diğer birçok fidye yazılımı çeşidinin aksine, Jkwerlo, etkilenen dosyaların orijinal adlarını değiştirmekten kaçınarak kendisini farklılaştırıyor. Şifreleme işleminin tamamlanmasının ardından, bu özel fidye yazılımı 'IMPORTANT_README.txt' başlıklı bir fidye notu oluşturur. Not, saldırganların kurbanla iletişim kurması için bir araç görevi görüyor, fidye ödemesine ilişkin hüküm ve koşulları özetliyor ve şifre çözme sürecine nasıl devam edileceğine ilişkin talimatlar sağlıyor.

Jkwerlo Fidye Yazılımı Gelişmiş Zararlı İşlevler Görüntülüyor

Jkwerlo, operasyonlarındaki karmaşıklığı sergileyen gelişmiş bir fidye yazılımı türü olarak öne çıkıyor. Özellikle İspanyolca ve Fransızca iletişim kuran kullanıcıları hedef aldığı gözlemlendi. Saldırılar, her biri farklı düzeylerde karmaşıklıkla karakterize edilen farklı enfeksiyon zincirlerini kullanıyor.

Sistemlere sızarken, Jkwerlo genellikle, bir PDF belge simgesiyle akıllıca gizlenmiş, 5 ila 6 megabayt arasında değişen, nispeten kompakt bir yürütülebilir dosya biçiminde gelir. Kötü amaçlı yazılım, tehdit edici faaliyetlerini gerçekleştirmek için büyük ölçüde PowerShell komutlarına güveniyor ve bir dizi komutu yürütmede çok yönlülük sergiliyor.

Jkwerlo'nun dikkate değer bir özelliği, özellikle veritabanı programları ve metin dosyası okuyucuları gibi aktif olarak açılan dosyalarla ilişkili işlemleri sonlandırabilme yeteneğidir. Fidye yazılımı bunu yaparak, 'kullanımda' olduğu düşünülen dosyalardan kaynaklanabilecek şifreleme muafiyetlerini stratejik olarak önler. Ayrıca program, etkisini artırmak için Gölge Birim Kopyalarını silmek ve olası bir kurtarma yolunu ortadan kaldırmak gibi ek önlemler alır.

Kalıcılık ve kaçınma arayışında Jkwerlo, Önyükleme Yapılandırma Verilerini (BCD) değiştirerek, Kontrollü Klasör Erişimi de dahil olmak üzere Microsoft Defender Antivirus gibi önemli güvenlik bileşenlerini devre dışı bırakır. Ayrıca, Görev Yöneticisi (Taskmgr.exe) ve Kaynak İzleyicisi (Resmon.exe) için yürütülebilir dosyaları silmeye çalışır ve güvenlik profesyonellerinin azaltma ve algılama çabalarını daha da karmaşık hale getirir. Bu çok yönlü yaklaşım, fidye yazılımının karmaşıklığının altını çiziyor ve zararlı faaliyetlerine karşı koymak için güçlü siber güvenlik önlemlerinin önemini artırıyor.

Jkwerlo Fidye Yazılımı Kurbanlarından Zorla Fidye Ödemesi Almaya Çalışıyor

Jkwerlo'nun fidye notu, erişilemez hale getirilen dosyaların şifrelendiğini açıkça bildiriyor ve verileri geri alınamaz hale getirme riski nedeniyle manuel şifre çözme girişimlerine karşı uyarıda bulunuyor. Bu dosyaları kurtarmanın anahtarı, saldırganlar tarafından korunan çok önemli bir bileşen olan şifre çözme anahtarına sahip olmaktır. Bu anahtarı elde etmek için kurbanların fidye ödemesi yapması gerekiyor. Fonlar aktarıldıktan sonra siber suçlular, şifre çözme araçlarının ve beraberindeki talimatların 24 saat içinde teslim edilmesini sağlar.

Bu vaatlere rağmen, bilgi güvenliği araştırmacıları, siber suçluların doğrudan müdahalesi olmadan şifre çözmenin genel olarak imkansız olduğunu vurguluyor. Şifre çözmenin mümkün olduğu durumlar genellikle derin kusurlu fidye yazılımlarını içerir ve bu nadir görülen bir durumdur.

Riskleri daha da artıran mağdurlar, fidye taleplerini yerine getirdikten sonra bile genellikle verilerinin şifresini çözmek için gerekli anahtarlardan veya araçlardan yoksun kalıyorlar. Sonuç olarak uzmanlar, başarılı dosya kurtarma konusunda güvence eksikliğini ve fidye ödemeleri yoluyla suç faaliyetlerine kasıtsız destek verildiğini vurgulayarak bu taleplere boyun eğmeyi şiddetle tavsiye etmiyor.

Fidye yazılımını işletim sisteminden kaldırmak, daha fazla veri şifrelemesini önlemek için gerekli bir adım olsa da, kaldırmanın tek başına zaten etkilenmiş dosyaları otomatik olarak geri yüklemeyeceğini unutmamak önemlidir. Bu gibi durumlarda önerilen çözüm, önceden oluşturulmuş bir yedekten (varsa ve ayrı ve güvenli bir konumda saklanıyorsa) dosya kurtarma işlemini başlatmaktır. Bu yaklaşım, fidye ödemeleri ve suç faaliyetleri döngüsünü sürdürmeden, daha güvenilir ve etkili bir veri restorasyon aracı sağlar.

Jkwerlo Ransomware tarafından oluşturulan fidye notu:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Fidye notunun İspanyolca versiyonu:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Jkwerlo'nun fidye notunun Fransızca versiyonu da var:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'