Jkwerlo Ransomware

Jkwerlo được xác định là một chương trình không an toàn thuộc danh mục ransomware. Chức năng chính của nó xoay quanh việc mã hóa dữ liệu và sau đó yêu cầu thanh toán để đổi lấy việc giải mã. Không giống như nhiều biến thể ransomware khác thường thay đổi tiêu đề của các tệp bị khóa bằng cách thêm các phần mở rộng, Jkwerlo tự phân biệt bằng cách không sửa đổi tên gốc của các tệp bị ảnh hưởng. Sau khi hoàn tất quá trình mã hóa, phần mềm ransomware cụ thể này sẽ tạo ra một thông báo đòi tiền chuộc có tiêu đề 'IMPORTANT_README.txt.' Ghi chú đóng vai trò như một phương tiện để kẻ tấn công liên lạc với nạn nhân, nêu rõ các điều khoản và điều kiện để thanh toán tiền chuộc và cung cấp hướng dẫn về cách tiến hành quá trình giải mã.

Ransomware Jkwerlo hiển thị các chức năng có hại tinh vi

Jkwerlo nổi bật là một chủng ransomware tinh vi, thể hiện mức độ phức tạp trong hoạt động của nó. Đáng chú ý, nó đã được quan sát thấy nhắm mục tiêu vào người dùng giao tiếp bằng tiếng Tây Ban Nha và tiếng Pháp. Các cuộc tấn công sử dụng các chuỗi lây nhiễm riêng biệt, mỗi chuỗi được đặc trưng bởi mức độ phức tạp khác nhau.

Khi xâm nhập vào hệ thống, Jkwerlo thường xuất hiện dưới dạng một tệp thực thi tương đối nhỏ gọn, có dung lượng từ 5 đến 6 megabyte, được ngụy trang khéo léo bằng biểu tượng tài liệu PDF. Phần mềm độc hại phụ thuộc rất nhiều vào các lệnh PowerShell để thực hiện các hoạt động đe dọa, thể hiện tính linh hoạt trong việc thực thi một loạt lệnh.

Một tính năng đáng chú ý của Jkwerlo là khả năng chấm dứt các tiến trình, đặc biệt là các tiến trình liên quan đến các tệp được mở tích cực, chẳng hạn như các chương trình cơ sở dữ liệu và trình đọc tệp văn bản. Bằng cách đó, phần mềm ransomware sẽ tránh được các miễn trừ mã hóa có thể phát sinh từ các tệp được coi là 'đang sử dụng' một cách có chiến lược. Hơn nữa, chương trình thực hiện các biện pháp bổ sung để nâng cao tác động của nó, chẳng hạn như xóa Bản sao khối lượng bóng tối, loại bỏ khả năng phục hồi.

Để tìm kiếm sự kiên trì và trốn tránh, Jkwerlo sửa đổi Dữ liệu cấu hình khởi động (BCD), vô hiệu hóa các thành phần bảo mật quan trọng như Microsoft Defender Antivirus, bao gồm cả Quyền truy cập thư mục được kiểm soát. Ngoài ra, nó còn cố gắng xóa các tệp thực thi của Trình quản lý tác vụ (Taskmgr.exe) và Trình giám sát tài nguyên (Resmon.exe), làm phức tạp thêm các nỗ lực giảm thiểu và phát hiện của các chuyên gia bảo mật. Cách tiếp cận nhiều mặt này nhấn mạnh sự tinh vi của ransomware và nâng cao tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ để chống lại các hoạt động gây tổn hại của nó.

Phần mềm tống tiền Jkwerlo cố gắng tống tiền các khoản thanh toán tiền chuộc từ nạn nhân của nó

Thông báo đòi tiền chuộc của Jkwerlo thông báo rõ ràng rằng các tệp không thể truy cập được đã trải qua quá trình mã hóa, cảnh báo mọi nỗ lực giải mã thủ công do nguy cơ hiển thị dữ liệu không thể khôi phục được. Chìa khóa để khôi phục các tệp này nằm ở việc sở hữu khóa giải mã, một thành phần quan trọng được những kẻ tấn công bảo vệ. Để có được chìa khóa này, nạn nhân buộc phải trả tiền chuộc. Sau khi tiền được chuyển, tội phạm mạng đảm bảo cung cấp các công cụ giải mã và hướng dẫn đi kèm trong khung thời gian 24 giờ.

Bất chấp những lời hứa này, các nhà nghiên cứu bảo mật thông tin nhấn mạnh rằng việc giải mã nói chung là không thể nếu không có sự tham gia trực tiếp của tội phạm mạng. Các trường hợp có thể giải mã được thường liên quan đến phần mềm tống tiền có nhiều lỗ hổng, điều này rất hiếm.

Cộng thêm rủi ro, nạn nhân thường thấy mình không có chìa khóa hoặc công cụ cần thiết để giải mã dữ liệu của mình, ngay cả sau khi tuân thủ các yêu cầu về tiền chuộc. Do đó, các chuyên gia đặc biệt không khuyến khích việc tuân theo những yêu cầu này, nhấn mạnh đến việc thiếu sự đảm bảo trong việc khôi phục tệp thành công và sự hỗ trợ ngoài ý muốn cho các hoạt động tội phạm thông qua việc trả tiền chuộc.

Mặc dù việc xóa phần mềm tống tiền khỏi hệ điều hành là một bước cần thiết để ngăn chặn việc mã hóa dữ liệu thêm, nhưng điều cần lưu ý là chỉ việc loại bỏ sẽ không tự động khôi phục các tệp đã bị ảnh hưởng. Giải pháp được đề xuất trong những trường hợp như vậy là bắt đầu khôi phục tệp từ bản sao lưu đã tạo trước đó, miễn là bản sao lưu đó tồn tại và được lưu trữ ở một vị trí riêng biệt và an toàn. Cách tiếp cận này đảm bảo một phương tiện khôi phục dữ liệu đáng tin cậy và hiệu quả hơn mà không kéo dài chu kỳ thanh toán tiền chuộc và hoạt động tội phạm.

Thông báo đòi tiền chuộc do Jkwerlo Ransomware tạo ra là:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Biến thể tiếng Tây Ban Nha của giấy đòi tiền chuộc là:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Ngoài ra còn có một biến thể tiếng Pháp của thông báo đòi tiền chuộc của Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'