Jkwerlo ransomware

Jkwerlo se identifica como un programa inseguro que pertenece a la categoría de ransomware. Su funcionalidad principal gira en torno a cifrar datos y posteriormente exigir un pago a cambio de descifrarlos. A diferencia de muchas otras variantes de ransomware que normalmente alteran los títulos de los archivos bloqueados añadiendo extensiones, Jkwerlo se distingue por abstenerse de modificar los nombres originales de los archivos afectados. Al finalizar el proceso de cifrado, este ransomware en particular genera una nota de rescate titulada "IMPORTANT_README.txt". La nota sirve como medio para que los atacantes se comuniquen con la víctima, describiendo los términos y condiciones para el pago del rescate y brindando instrucciones sobre cómo proceder con el proceso de descifrado.

El Jkwerlo Ransomware muestra funciones dañinas sofisticadas

Jkwerlo se destaca como una cepa de ransomware sofisticada que muestra un nivel de complejidad en sus operaciones. En particular, se ha observado que se dirige a usuarios que se comunican en español y francés. Los ataques emplean distintas cadenas de infección, cada una de las cuales se caracteriza por distintos niveles de complejidad.

Cuando se infiltra en los sistemas, Jkwerlo normalmente llega en forma de un ejecutable relativamente compacto, de 5 a 6 megabytes, hábilmente disfrazado con un ícono de documento PDF. El malware depende en gran medida de los comandos de PowerShell para llevar a cabo sus actividades amenazantes, y muestra versatilidad en la ejecución de una variedad de comandos.

Una característica notable de Jkwerlo es su capacidad para finalizar procesos, particularmente aquellos asociados con archivos abiertos activamente, como programas de bases de datos y lectores de archivos de texto. Al hacerlo, el ransomware evita estratégicamente las exenciones de cifrado que pueden surgir de los archivos considerados "en uso". Además, el programa toma medidas adicionales para mejorar su impacto, como eliminar las instantáneas de volumen, eliminando una posible vía de recuperación.

En su búsqueda de persistencia y evasión, Jkwerlo modifica los datos de configuración de arranque (BCD), deshabilitando componentes de seguridad cruciales como Microsoft Defender Antivirus, incluido el acceso controlado a carpetas. Además, intenta eliminar los ejecutables del Administrador de tareas (Taskmgr.exe) y del Monitor de recursos (Resmon.exe), lo que complica aún más los esfuerzos de mitigación y detección para los profesionales de la seguridad. Este enfoque multifacético subraya la sofisticación del ransomware y realza la importancia de medidas sólidas de ciberseguridad para contrarrestar sus actividades dañinas.

El ransomware Jkwerlo intenta extorsionar a sus víctimas para que paguen un rescate

La nota de rescate de Jkwerlo comunica explícitamente que los archivos que se han vuelto inaccesibles han sido cifrados, advirtiendo contra cualquier intento de descifrado manual debido al riesgo de que los datos sean irrecuperables. La clave para recuperar estos archivos reside en la posesión de la clave de descifrado, un componente crucial custodiado por los atacantes. Para obtener esta clave, las víctimas se ven obligadas a pagar un rescate. Una vez transferidos los fondos, los ciberdelincuentes garantizan la entrega de las herramientas de descifrado y las instrucciones adjuntas en un plazo de 24 horas.

A pesar de estas promesas, los investigadores de seguridad de la información destacan la imposibilidad general de descifrar sin la participación directa de los ciberdelincuentes. Los casos en los que el descifrado es factible suelen implicar un ransomware profundamente defectuoso, lo cual es una rareza.

Para agravar los riesgos, las víctimas a menudo se encuentran sin las claves o herramientas necesarias para descifrar sus datos, incluso después de cumplir con las demandas de rescate. En consecuencia, los expertos desaconsejan enfáticamente sucumbir a estas demandas, enfatizando la falta de seguridad en la recuperación exitosa de archivos y el apoyo involuntario a actividades criminales a través del pago de rescates.

Si bien eliminar el ransomware del sistema operativo es un paso necesario para evitar un mayor cifrado de datos, es esencial tener en cuenta que la eliminación por sí sola no restaura automáticamente los archivos ya afectados. La solución recomendada en tales casos es iniciar la recuperación de archivos a partir de una copia de seguridad creada previamente, siempre que exista una y esté almacenada en una ubicación separada y segura. Este enfoque garantiza un medio más confiable y eficaz de restauración de datos sin perpetuar el ciclo de pagos de rescate y actividad delictiva.

La nota de rescate generada por Jkwerlo Ransomware es:

'Your computer files have been encrypted. DO NOT TURN OFF THE MACHINE OR TRY TO MODIFY THE FILES! Please, don't try either to decrypt them without the proper key, this may result in an unrecoverable state. It's nearly impossible to guess the key, so do not spend time on it.

When the payment it's done you will receive the decrypter and the instructions to recover the files within 24 hours.

Contact to recover the files:'

La variante española de la nota de rescate es:

'Hola,

Consulte la información vital que he compartido con usted mediante Google Drive.

Abra el archivo para ver los detalles.

Saludos.

AVISO DE CONFIDENCIALIDAD: Este correo electrónico y cualquier archivo transmitido son privados y confidenciales y son para uso exclusivo de los destinatarios a quienes está dirigido. Cualquier revisión, uso, divulgación, distribución o copia no autorizada de esta comunicación está estrictamente prohibida. Si recibió esta comunicación por error, elimínela y notifique inmediatamente al remitente a través de la dirección de devolución de correo electrónico. Gracias por su cumplimiento.

Por favor considere el medio ambiente antes de imprimir este e-mail.'

También hay una variante en francés de la nota de rescate de Jkwerlo:

'Bonjour,

Veuillez vous référer aux informations vitales que j'ai partagées avec vous à l'aide de Google Drive.

Ouvrez le fichier pour afficher les détails.

Salutations.

AVIS DE CONFIDENTIALITÉ: Cet e-mail et tous les fichiers transmis sont privés et confidentiels et sont uniquement destinés à l'usage du(des) destinataire(s) auquel il est adressé. Toute révision, utilisation, divulgation, distribution ou copie non autorisée de cette communication est strictement interdite. Si vous avez reçu cette communication par erreur, veuillez la supprimer et en informer immédiatement l'expéditeur via l'adresse e-mail de retour. Merci pour votre conformité.

Pensez à l'environnement avant d'imprimer cet e-mail.'