Програма-вимагач Jkwerlo

Jkwerlo визначено як небезпечну програму, що підпадає під категорію програм-вимагачів. Його основна функція полягає в шифруванні даних і подальшому вимаганні оплати в обмін на дешифрування. На відміну від багатьох інших варіантів програм-вимагачів, які зазвичай змінюють назви заблокованих файлів шляхом додавання розширень, Jkwerlo відрізняється тим, що утримується від модифікації оригінальних імен уражених файлів. Після завершення процесу шифрування ця конкретна програма-вимагач генерує повідомлення про викуп під назвою «IMPORTANT_README.txt». Записка служить для зловмисників засобом для спілкування з жертвою, викладаючи умови виплати викупу та надаючи інструкції щодо продовження процесу розшифровки.

Програма-вимагач Jkwerlo демонструє складні шкідливі функції

Jkwerlo виділяється як складний штам програм-вимагачів, демонструючи рівень складності своїх операцій. Зокрема, було помічено, що він націлений на користувачів, які спілкуються іспанською та французькою мовами. Атаки використовують різні ланцюжки зараження, кожна з яких характеризується різними рівнями складності.

Під час проникнення в системи Jkwerlo зазвичай надходить у формі відносно компактного виконуваного файлу розміром від 5 до 6 мегабайт, вміло замаскованого піктограмою документа PDF. Зловмисне програмне забезпечення значною мірою покладається на команди PowerShell для виконання своїх загрозливих дій, демонструючи універсальність у виконанні ряду команд.

Однією з помітних особливостей Jkwerlo є його здатність завершувати процеси, особливо пов’язані з активно відкритими файлами, такими як програми баз даних і читачі текстових файлів. Таким чином програмне забезпечення-вимагач стратегічно уникає винятків шифрування, які можуть виникати з файлів, які вважаються «використовуваними». Крім того, програма вживає додаткових заходів для посилення свого впливу, як-от видалення тіньових копій томів, усуваючи потенційний шлях для відновлення.

У своїх пошуках стійкості та уникнення Jkwerlo змінює дані конфігурації завантаження (BCD), вимикаючи важливі компоненти безпеки, такі як Microsoft Defender Antivirus, включаючи контрольований доступ до папок. Крім того, він намагається видалити виконувані файли для диспетчера завдань (Taskmgr.exe) і монітора ресурсів (Resmon.exe), що ще більше ускладнює зусилля з пом’якшення та виявлення для фахівців із безпеки. Цей багатогранний підхід підкреслює складність програми-вимагача та підвищує важливість надійних заходів кібербезпеки для протидії її шкідливій діяльності.

Програма-вимагач Jkwerlo намагається вимагати викуп від своїх жертв

У записці Jkwerlo про викуп прямо повідомляється, що файли, які стали недоступними, пройшли шифрування, застерігаючи від будь-яких спроб розшифровки вручну через ризик зробити дані непоправними. Ключ до відновлення цих файлів полягає у володінні ключем дешифрування, важливим компонентом, який захищають зловмисники. Щоб отримати цей ключ, жертви змушені заплатити викуп. Після переказу коштів кіберзлочинці гарантують доставку засобів дешифрування та супровідних інструкцій протягом 24 годин.

Незважаючи на ці обіцянки, дослідники інформаційної безпеки підкреслюють загальну неможливість дешифрування без безпосередньої участі кіберзлочинців. Випадки, коли розшифровка можлива, зазвичай стосуються глибоко пошкоджених програм-вимагачів, що є рідкістю.

Ризики ускладнюються тим, що жертви часто опиняються без необхідних ключів чи інструментів для розшифровки своїх даних, навіть після виконання вимог щодо викупу. Отже, експерти настійно не рекомендують піддаватися цим вимогам, наголошуючи на відсутності впевненості в успішному відновленні файлів і ненавмисній підтримці злочинної діяльності через виплату викупу.

Хоча видалення програми-вимагача з операційної системи є необхідним кроком для запобігання подальшому шифруванню даних, важливо зазначити, що само по собі видалення не призводить до автоматичного відновлення файлів, які вже постраждали. Рекомендованим рішенням у таких випадках є ініціювання відновлення файлу з попередньо створеної резервної копії, за умови, що вона існує та зберігається в окремому безпечному місці. Такий підхід забезпечує більш надійний і ефективний спосіб відновлення даних без увічнення циклу виплат викупу та злочинної діяльності.

Записка про викуп, створена програмою-вимагачем Jkwerlo:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Іспанський варіант записки про викуп:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Існує також франкомовний варіант записки Джкверло про викуп:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'