Wszyscy znamy oprogramowanie Fabiansomware, Esmeralda i ransomware Apocalypse. Dla tych, którzy nie są, są to fragmenty złośliwego kodu, wszystkie zbudowane przez pojedynczą gang cyberprzestępczą. A teraz powrócili i poprawili swoją grę kolejną potężną infekcją o nazwie „ Kangur ”.

Ransomware Kangaroo jest znane z wyłudzania pieniędzy od niewinnych ofiar. Zastosowane podejście jest stare, ale skuteczne. Potwierdzono, że oprogramowanie ransomware blokuje użytkownikom dostęp do komputera, uniemożliwiając ich działanie w celu przekonania ich do zapłaty. To, co wyróżnia to oprogramowanie ransomware na tle innych wariantów złośliwego oprogramowania kryptograficznego, to fałszywa informacja prawna.

Podobnie jak oprogramowanie ransomware DXXD, użytkownicy mają po twarzy powiadomienie rzucone na twarz. Ponadto użytkownicy nie mają uprawnień do uruchomienia Menedżera zadań lub dostępu do Explorer.exe odpowiedzialnego za wyświetlanie interfejsu użytkownika systemu Windows. Następnie użytkownicy otrzymują okup w celu odzyskania dostępu do swoich plików i przestrzeni osobistej.

Chociaż blokadę ekranu można wyłączyć w trybie awaryjnym lub naciskając kombinację klawiszy ALT + F4, w przypadku wielu zwykłych użytkowników komputerów może to uniemożliwić im korzystanie z komputera.

Instalacja ransomware Kangaroo

Proces instalacji oprogramowania ransomware znacznie różni się od innych popularnych podejść. Zamiast głównego zestawu exploitów, cracków, zainfekowanych stron lub trojanów, ransomware Kangaroo instaluje się ręcznie poprzez włamanie do RDP.

Programiści używają Pulpitu zdalnego w celu uzyskania nieautoryzowanego dostępu do komputera użytkownika i wykonania zainfekowanego pliku zawierającego oprogramowanie ransomware. Następnie wyświetlany jest ekran z unikalnym identyfikatorem ofiary i kluczem szyfrującym.

Wybierając opcję kopiuj i kontynuuj, użytkownicy zezwalają oprogramowaniu ransomware na rozpoczęcie procesu szyfrowania swoich danych osobowych. Ransomware dołącza również rozszerzenie .crypted_file do nazwy zaszyfrowanego pliku. Po zakończeniu procesu ransomware wyświetla fałszywy ekran blokady. Sugeruje to, że istnieje krytyczny problem z komputerem i że dane zostały zaszyfrowane. Następnie zawiera instrukcje dotyczące skontaktowania się z programistą pod adresem [email protected] w celu przywrócenia danych.

Jak usunąć Kangaroo ScreenLocker

Aby odzyskać dostęp do pulpitu Windows, użytkownicy będą musieli wyłączyć uruchamianie pliku wykonywalnego Kangaroo. Aby to osiągnąć, docelowy użytkownik będzie musiał uruchomić komputer w trybie awaryjnym systemu Windows. Następnie ponownie uzyskają dostęp do swojego systemu operacyjnego. Po zalogowaniu do trybu awaryjnego systemu Windows mogą uruchomić plik msconfig.exe i wyłączyć uruchamianie złośliwego oprogramowania.