Jkwerlo-Ransomware

Jkwerlo wird als unsicheres Programm identifiziert, das in die Kategorie der Ransomware fällt. Seine Hauptfunktion besteht darin, Daten zu verschlüsseln und anschließend eine Zahlung als Gegenleistung für die Entschlüsselung zu verlangen. Im Gegensatz zu vielen anderen Ransomware-Varianten, die typischerweise die Titel gesperrter Dateien durch Anhängen von Erweiterungen ändern, zeichnet sich Jkwerlo dadurch aus, dass die ursprünglichen Namen der betroffenen Dateien nicht geändert werden. Nach Abschluss des Verschlüsselungsprozesses generiert diese spezielle Ransomware einen Lösegeldschein mit dem Titel „IMPORTANT_README.txt“. Die Notiz dient den Angreifern als Mittel zur Kommunikation mit dem Opfer, erläutert die Bedingungen für die Lösegeldzahlung und gibt Anweisungen zum weiteren Vorgehen beim Entschlüsselungsprozess.

Die Jkwerlo-Ransomware weist ausgefeilte schädliche Funktionen auf

Jkwerlo zeichnet sich durch eine hochentwickelte Ransomware-Variante aus, die ein hohes Maß an Komplexität in ihren Abläufen aufweist. Es wurde insbesondere beobachtet, dass es auf Benutzer abzielte, die auf Spanisch und Französisch kommunizieren. Bei den Angriffen kommen unterschiedliche Infektionsketten zum Einsatz, die sich jeweils durch unterschiedliche Komplexitätsgrade auszeichnen.

Beim Eindringen in Systeme gelangt Jkwerlo typischerweise in Form einer relativ kompakten ausführbaren Datei mit einer Größe von 5 bis 6 Megabyte, die geschickt mit einem PDF-Dokumentsymbol getarnt ist. Die Malware verlässt sich bei der Ausführung ihrer bedrohlichen Aktivitäten stark auf PowerShell-Befehle und zeigt sich bei der Ausführung einer Reihe von Befehlen vielseitig.

Ein bemerkenswertes Merkmal von Jkwerlo ist seine Fähigkeit, Prozesse zu beenden, insbesondere solche, die mit aktiv geöffneten Dateien verbunden sind, wie z. B. Datenbankprogramme und Textdatei-Reader. Auf diese Weise vermeidet die Ransomware gezielt Verschlüsselungsausnahmen, die sich aus Dateien ergeben können, die als „genutzt“ gelten. Darüber hinaus ergreift das Programm zusätzliche Maßnahmen, um seine Wirkung zu verstärken, wie z. B. das Löschen der Schattenkopien des Volumens, wodurch eine potenzielle Möglichkeit zur Wiederherstellung beseitigt wird.

In seinem Streben nach Beständigkeit und Umgehung ändert Jkwerlo die Boot-Konfigurationsdaten (BCD) und deaktiviert wichtige Sicherheitskomponenten wie Microsoft Defender Antivirus, einschließlich des kontrollierten Ordnerzugriffs. Darüber hinaus wird versucht, die ausführbaren Dateien für den Task-Manager (Taskmgr.exe) und den Ressourcenmonitor (Resmon.exe) zu löschen, was die Schadensbegrenzungs- und Erkennungsbemühungen für Sicherheitsexperten weiter erschwert. Dieser vielschichtige Ansatz unterstreicht die Raffinesse der Ransomware und unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen, um ihren schädlichen Aktivitäten entgegenzuwirken.

Die Jkwerlo-Ransomware versucht, Lösegeldzahlungen von ihren Opfern zu erpressen

In der Lösegeldforderung von Jkwerlo wird ausdrücklich mitgeteilt, dass die unzugänglich gemachten Dateien einer Verschlüsselung unterzogen wurden, und es wird vor jeglichen Versuchen einer manuellen Entschlüsselung gewarnt, da das Risiko besteht, dass die Daten unwiederbringlich werden. Der Schlüssel zur Wiederherstellung dieser Dateien liegt im Besitz des Entschlüsselungsschlüssels, einer entscheidenden Komponente, die von den Angreifern geschützt wird. Um an diesen Schlüssel zu gelangen, müssen die Opfer ein Lösegeld zahlen. Sobald die Gelder überwiesen sind, stellen die Cyberkriminellen die Lieferung von Entschlüsselungstools und begleitenden Anweisungen innerhalb von 24 Stunden sicher.

Trotz dieser Versprechungen betonen Informationssicherheitsforscher, dass eine Entschlüsselung ohne direkte Beteiligung der Cyberkriminellen generell unmöglich sei. In Fällen, in denen eine Entschlüsselung möglich ist, handelt es sich in der Regel um äußerst fehlerhafte Ransomware, was eine Seltenheit ist.

Erschwerend kommt hinzu, dass Opfer oft nicht über die notwendigen Schlüssel oder Tools zum Entschlüsseln ihrer Daten verfügen, selbst nachdem sie Lösegeldforderungen nachgekommen sind. Daher raten Experten dringend davon ab, diesen Forderungen nachzugeben, und betonen die mangelnde Sicherheit bei der erfolgreichen Wiederherstellung von Dateien sowie die unbeabsichtigte Unterstützung krimineller Aktivitäten durch Lösegeldzahlungen.

Während das Entfernen der Ransomware vom Betriebssystem ein notwendiger Schritt ist, um eine weitere Datenverschlüsselung zu verhindern, ist es wichtig zu beachten, dass durch das Entfernen allein bereits betroffene Dateien nicht automatisch wiederhergestellt werden. Die empfohlene Lösung besteht in solchen Fällen darin, die Dateiwiederherstellung von einem zuvor erstellten Backup zu starten, sofern eines vorhanden ist und an einem separaten und sicheren Ort gespeichert ist. Dieser Ansatz gewährleistet eine zuverlässigere und effektivere Methode zur Datenwiederherstellung, ohne den Kreislauf von Lösegeldzahlungen und kriminellen Aktivitäten fortzusetzen.

Der von der Jkwerlo-Ransomware generierte Lösegeldschein lautet:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

Die spanische Variante des Lösegeldscheins lautet:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

Es gibt auch eine französischsprachige Variante des Lösegeldscheins von Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'