Jkwerlo Ransomware

Jkwerlo est identifié comme un programme dangereux entrant dans la catégorie des ransomwares. Sa fonctionnalité principale consiste à chiffrer les données et à exiger ensuite un paiement en échange du décryptage. Contrairement à de nombreuses autres variantes de ransomwares qui modifient généralement les titres des fichiers verrouillés en ajoutant des extensions, Jkwerlo se distingue en s'abstenant de modifier les noms d'origine des fichiers concernés. Une fois le processus de cryptage terminé, ce ransomware particulier génère une demande de rançon intitulée « IMPORTANT_README.txt ». La note permet aux attaquants de communiquer avec la victime, décrivant les termes et conditions du paiement de la rançon et fournissant des instructions sur la manière de procéder au processus de décryptage.

Le Jkwerlo Ransomware affiche des fonctions nuisibles sophistiquées

Jkwerlo se distingue comme une souche de ransomware sophistiquée, présentant un niveau de complexité dans ses opérations. Il a notamment été observé qu’il cible les utilisateurs qui communiquent en espagnol et en français. Les attaques utilisent des chaînes d’infection distinctes, chacune caractérisée par différents niveaux de complexité.

Lors de l'infiltration de systèmes, Jkwerlo se présente généralement sous la forme d'un exécutable relativement compact, allant de 5 à 6 mégaoctets, intelligemment masqué par une icône de document PDF. Le malware s'appuie fortement sur les commandes PowerShell pour mener à bien ses activités menaçantes, faisant preuve de polyvalence dans l'exécution d'une gamme de commandes.

Une caractéristique notable de Jkwerlo est sa capacité à mettre fin aux processus, en particulier ceux associés aux fichiers activement ouverts, tels que les programmes de bases de données et les lecteurs de fichiers texte. Ce faisant, le ransomware évite stratégiquement les exemptions de chiffrement qui peuvent découler des fichiers considérés comme « en cours d'utilisation ». En outre, le programme prend des mesures supplémentaires pour améliorer son impact, telles que la suppression des copies de volume instantané, éliminant ainsi toute possibilité de récupération.

Dans sa quête de persistance et d'évasion, Jkwerlo modifie les données de configuration de démarrage (BCD), désactivant des composants de sécurité cruciaux tels que l'antivirus Microsoft Defender, y compris l'accès contrôlé aux dossiers. De plus, il tente de supprimer les exécutables du Gestionnaire des tâches (Taskmgr.exe) et du Moniteur de ressources (Resmon.exe), compliquant encore davantage les efforts d'atténuation et de détection pour les professionnels de la sécurité. Cette approche à multiples facettes souligne la sophistication du ransomware et renforce l'importance de mesures de cybersécurité robustes pour contrecarrer ses activités nuisibles.

Le Jkwerlo Ransomware tente d'extorquer le paiement d'une rançon à ses victimes

La demande de rançon de Jkwerlo indique explicitement que les fichiers rendus inaccessibles ont été cryptés, mettant en garde contre toute tentative de décryptage manuel en raison du risque de rendre les données irrécupérables. La clé pour récupérer ces fichiers réside dans la possession de la clé de décryptage, un élément crucial sauvegardé par les attaquants. Pour obtenir cette clé, les victimes sont obligées de payer une rançon. Une fois les fonds transférés, les cybercriminels assurent la livraison des outils de décryptage et des instructions qui les accompagnent dans un délai de 24 heures.

Malgré ces promesses, les chercheurs en sécurité de l’information soulignent l’impossibilité générale du décryptage sans l’implication directe des cybercriminels. Les cas où le décryptage est possible impliquent généralement des ransomwares profondément défectueux, ce qui est rare.

Ce qui aggrave encore les risques, c'est que les victimes se retrouvent souvent sans les clés ou les outils nécessaires pour décrypter leurs données, même après avoir accédé aux demandes de rançon. Par conséquent, les experts déconseillent fortement de succomber à ces demandes, soulignant le manque de garantie d’une récupération réussie des fichiers et le soutien involontaire à des activités criminelles via le paiement de rançons.

Bien que la suppression du ransomware du système d’exploitation soit une étape nécessaire pour empêcher un cryptage ultérieur des données, il est essentiel de noter que la suppression à elle seule ne restaure pas automatiquement les fichiers déjà affectés. La solution recommandée dans de tels cas consiste à lancer la récupération de fichiers à partir d'une sauvegarde créée précédemment, à condition qu'elle existe et soit stockée dans un emplacement distinct et sécurisé. Cette approche garantit un moyen de restauration des données plus fiable et plus efficace sans perpétuer le cycle des paiements de rançons et des activités criminelles.

La demande de rançon générée par Jkwerlo Ransomware est :

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

La variante espagnole de la demande de rançon est :

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Il existe également une variante en français de la demande de rançon de Jkwerlo :

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'