Vi er alle fortrolige med Fabiansomware, Esmeralda og Apocalypse ransomware. For dem, der ikke er, er det stykker af ondsindet kode, der alle er konstrueret af ental en cyberkriminel bande. Og nu har de gjort en tilbagevenden og hævet deres spil med en anden kraftig smule smitte med navnet ' Kangaroo '.

Kangaroo ransomware er kendt for at udpresse penge fra uskyldige ofre. Den anvendte tilgang er en gammel, men alligevel effektiv. Ransomware er blevet bekræftet for at låse brugere ud fra deres computer, hvilket gør det ubrugeligt i et forsøg på at overbevise dem om at betale op. Hvad der får denne ransomware til at skille sig ud fra andre crypto-malware-varianter er dens falske juridiske meddelelse.

Ligesom DXXD-ransomware, har brugerne en meddelelse, der er kastet i deres ansigter, når de logger på. Desuden nægtes brugere privilegiet til at starte en Task Manager eller få adgang til Explorer.exe, der er ansvarlig for at vise Windows UI. Derefter får brugerne løsepenge for at genvinde adgang til deres filer og deres personlige plads.

Selvom skærmens skab kan deaktiveres i fejlsikret tilstand eller ved at trykke på ALT + F4- tasterne kombination for mange afslappede computerbrugere, kan dette forhindre dem i at bruge deres computer.

Kangaroo ransomware-installation

Ransomwarens installationsproces adskiller sig markant fra andre almindelige tilgange. I stedet for mainstream-udnyttelsessæt, revner, kompromitterede steder eller trojanere, installeres Kangaroo ransomware manuelt ved at hacke ind i RDP.

Udviklere bruger Remote Desktop til at få uautoriseret adgang til en brugers computer og udføre den inficerede fil, der indeholder ransomware. Derefter vises en skærm, der viser offerets unikke ID og deres krypteringsnøgle.

Ved at vælge kopiere og fortsætte giver brugerne ransomware mulighed for at starte krypteringsprocessen for deres personlige data. Ransomware føjer også .crypted_file- udvidelsen til en krypteret fils navn. Efter procesafslutning viser ransomware en falsk låseskærm. Det antyder, at der er et kritisk problem med computeren, og at dataene blev krypteret. Det giver derefter instruktioner om, hvordan man kontakter udvikleren på [email protected] for at gendanne dataene.

Sådan fjernes Kangaroo ScreenLocker

For at genvinde adgangen til deres Windows-skrivebord skal brugerne deaktivere den Kangaroo-eksekverbare kørsel. For at opnå dette bliver den målrettede bruger nødt til at starte computeren i Windows Safe Mode. Derefter får de adgang til deres operativsystem igen. Når de er logget på Windows Safe Mode, kan de køre msconfig.exe og deaktivere malware i at køre.