Friendoffriends
Wszyscy znamy oprogramowanie ransomware Fabiansomware, Esmeralda i Apocalypse. Dla tych, którzy nie są, są to fragmenty złośliwego kodu skonstruowane przez pojedynczy gang cyberprzestępców. A teraz powrócili i podnieśli swoją grę dzięki kolejnej potężnej infekcji o nazwie ''Kangur'.
Plik Ransomware Kangaroo jest znany z wyłudzania pieniędzy od niewinnych ofiar. Zastosowane podejście jest stare, ale skuteczne. Potwierdzono, że oprogramowanie ransomware blokuje użytkownikom dostęp do ich komputera, uniemożliwiając jego działanie w celu przekonania ich do zapłaty. To, co wyróżnia to oprogramowanie ransomware na tle innych wariantów krypto-malware, to fałszywa informacja prawna.
Podobnie jak w przypadku oprogramowania ransomware DXXD, po zalogowaniu się na twarz pojawia się powiadomienie. Ponadto użytkownikom odmawia się uprawnień do uruchamiania Menedżera zadań lub dostępu do Explorer.exe odpowiedzialnego za wyświetlanie interfejsu użytkownika systemu Windows. Następnie użytkownicy otrzymują okup za odzyskanie dostępu do swoich plików i przestrzeni osobistej.
Chociaż blokadę ekranu można wyłączyć w trybie awaryjnym lub naciskając ALT + F4 kombinacja klawiszy, dla wielu zwykłych użytkowników komputerów może to uniemożliwić im korzystanie z komputera.
Instalacja ransomware Kangaroo
Proces instalacji oprogramowania ransomware znacznie różni się od innych typowych podejść. Zamiast popularnych zestawów exploitów, cracków, zainfekowanych witryn lub trojanów, oprogramowanie ransomware Kangaroo jest instalowane ręcznie przez włamanie do RDP.
Programiści używają Pulpitu zdalnego, aby uzyskać nieautoryzowany dostęp do komputera użytkownika i uruchomić zainfekowany plik zawierający oprogramowanie ransomware. Następnie wyświetlany jest ekran z unikalnym identyfikatorem ofiary i jej kluczem szyfrowania.
Wybierając kopiuj i kontynuuj, użytkownicy zezwalają oprogramowaniu ransomware na rozpoczęcie procesu szyfrowania ich danych osobowych. Ransomware dołącza również rozszerzenie .crypted_file rozszerzenie nazwy zaszyfrowanego pliku. Po zakończeniu procesu ransomware wyświetla fałszywy ekran blokady. Sugeruje, że wystąpił krytyczny problem z komputerem i dane zostały zaszyfrowane. Następnie zawiera instrukcje, jak skontaktować się z programistą pod adresem [email protected] w celu przywrócenia danych.
Jak usunąć Kangaroo ScreenLocker
Aby odzyskać dostęp do pulpitu Windows, użytkownicy będą musieli wyłączyć uruchamianie pliku wykonywalnego Kangaroo. Aby to osiągnąć, docelowy użytkownik będzie musiał uruchomić komputer w trybie awaryjnym systemu Windows. Następnie ponownie uzyskają dostęp do swojego systemu operacyjnego. Po zalogowaniu się w trybie awaryjnym systemu Windows mogą uruchomić plik msconfig.exe i wyłączyć złośliwe oprogramowanie.
