Friendoffriends
Vi kender alle Fabiansomware, Esmeralda og Apocalypse ransomware. For dem der ikke er det, er de stykker af ondsindet kode, der alle er konstrueret af ental en cyberkriminel bande. Og nu har de vendt tilbage og opgraderet deres spil med endnu en kraftig smule infektion med navnet 'Kænguru''.
Det Kangaroo ransomware er kendt for at afpresse penge fra uskyldige ofre. Den anvendte tilgang er en gammel, men alligevel effektiv. Ransomware er blevet bekræftet for at låse brugere ud af deres computer, hvilket gør det ubrugeligt i et forsøg på at overbevise dem om at betale op. Hvad der får denne ransomware til at skille sig ud fra andre krypto-malware-varianter, er dens falske juridiske meddelelse.
Ligesom DXXD-ransomware har brugerne en meddelelse smidt i deres ansigter, når de logger ind. Desuden nægtes brugerne privilegiet at starte en task manager eller få adgang til Explorer.exe, der er ansvarlig for at vise Windows UI. Derefter får brugerne en løsesum for at genvinde adgang til deres filer og deres personlige rum.
Selvom skærmbilledet kan deaktiveres i fejlsikret tilstand eller ved at trykke på ALT + F4 nøglekombination, for mange afslappede computerbrugere, kan dette forhindre dem i at bruge deres computer.
Kangaroo ransomware installation
Installationsprocessen for ransomware adskiller sig markant fra andre almindelige tilgange. I stedet for almindelige udnyttelsessæt, revner, kompromitterede websteder eller trojanske heste installeres Kangaroo ransomware manuelt ved at hacke ind i RDP.
Udviklere bruger Remote Desktop til at få uautoriseret adgang til en brugers computer og udføre den inficerede fil, der indeholder ransomware. Der vises derefter en skærm, der viser offerets unikke ID og deres krypteringsnøgle.
Ved at vælge kopi og fortsæt tillader brugere ransomware at starte krypteringsprocessen for deres personlige data. Ransomware tilføjer også .crypted_file udvidelse til navnet på en krypteret fil. Efter afslutning af processen viser ransomware en falsk låseskærm. Det antyder, at der er et kritisk problem med computeren, og at dataene blev krypteret. Det giver derefter instruktioner om, hvordan man kontakter udvikleren på [email protected] for at gendanne dataene.
Sådan fjernes Kangaroo ScreenLocker
For at få adgang til deres Windows-skrivebord igen skal brugerne deaktivere Kangaroo-eksekverbarheden fra at køre. For at opnå dette skal den målrettede bruger starte computeren i Windows Safe Mode. Derefter får de adgang til deres operativsystem igen. Når de først er logget ind i Windows Safe Mode, kan de køre msconfig.exe og deaktivere malware fra at køre.
