Όλοι γνωρίζουμε το Fabiansomware, το Esmeralda και το ransomware της Αποκάλυψης. Για όσους δεν είναι, είναι κομμάτια από κακόβουλο κώδικα, όλα κατασκευασμένα από μια μοναδική συμμορία κυριολεκτών. Και τώρα, έχουν κάνει μια επιστροφή και επάνω το παιχνίδι τους με ένα άλλο ισχυρό κομμάτι της μόλυνσης με το όνομα « Kangaroo ».

Το ransomware καγκουρό είναι γνωστό ότι εκκενώνει χρήματα από αθώα θύματα. Η προσέγγιση που χρησιμοποιείται είναι παλιά αλλά και αποτελεσματική. Το ransomware έχει επιβεβαιωθεί για να κλειδώνει τους χρήστες έξω από τον υπολογιστή τους, καθιστώντας το inoperable σε μια προσπάθεια να τους πείσει να πληρώσουν. Αυτό που κάνει αυτό το ransomware ξεχωρίζει από άλλες παραλλαγές κρυπτο-κακόβουλου λογισμικού είναι η πλαστή νομική του προειδοποίηση.

Ακριβώς όπως το ransomware DXXD, οι χρήστες έχουν μια ειδοποίηση που ρίχνεται στα πρόσωπά τους, αφού συνδεθούν. Επιπλέον, οι χρήστες στερούνται το προνόμιο να ξεκινήσουν ένα Task Manager ή να αποκτήσουν πρόσβαση στο Explorer.exe υπεύθυνο για την εμφάνιση του UI των Windows. Στη συνέχεια, οι χρήστες λαμβάνουν λύτρα για να ανακτήσουν την πρόσβαση στα αρχεία τους και στον προσωπικό τους χώρο.

Παρόλο που το ντουλάπι οθόνης μπορεί να απενεργοποιηθεί σε ασφαλή λειτουργία ή πατώντας το συνδυασμό πλήκτρων ALT + F4, για πολλούς απλούς χρήστες υπολογιστών, αυτό θα μπορούσε να τους εμποδίσει να χρησιμοποιήσουν τον υπολογιστή τους.

Εγκατάσταση λύσης καγκουρό

Η διαδικασία εγκατάστασης του ransomware διαφέρει σημαντικά από άλλες κοινές προσεγγίσεις. Αντί των mainstream exploit kits, ρωγμών, συμβιβασμένων τοποθεσιών ή Trojans, το ransomware του Kangaroo εγκαθίσταται χειροκίνητα με hacking στο RDP.

Οι προγραμματιστές χρησιμοποιούν την απομακρυσμένη επιφάνεια εργασίας για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή ενός χρήστη και να εκτελέσουν το μολυσμένο αρχείο που περιέχει το ransomware. Εμφανίζεται μια οθόνη που εμφανίζει το μοναδικό αναγνωριστικό του θύματος και το κλειδί κρυπτογράφησης του.

Επιλέγοντας την αντιγραφή και να συνεχίσετε, οι χρήστες επιτρέπουν στο ransomware να ξεκινήσει τη διαδικασία κρυπτογράφησης των προσωπικών δεδομένων τους. Το ransomware προσθέτει επίσης την επέκταση .crypted_file σε ένα όνομα κρυπτογραφημένου αρχείου. Μετά την ολοκλήρωση της διαδικασίας, το ransomware εμφανίζει μια ψεύτικη οθόνη κλειδώματος. Προτείνει ότι υπάρχει ένα κρίσιμο πρόβλημα με τον υπολογιστή και ότι τα δεδομένα κρυπτογραφήθηκαν. Στη συνέχεια παρέχει οδηγίες σχετικά με τον τρόπο επικοινωνίας με τον προγραμματιστή στο [email protected] για την επαναφορά των δεδομένων.

Πώς να αφαιρέσετε το Kangaroo ScreenLocker

Για να ανακτήσουν την πρόσβαση στην επιφάνεια εργασίας των Windows τους, οι χρήστες θα πρέπει να απενεργοποιήσουν την εκτέλεση του εκτελέσιμου καγκουρό. Για να επιτευχθεί αυτό, ο στοχευμένος χρήστης θα πρέπει να εκκινήσει τον υπολογιστή σε ασφαλή λειτουργία των Windows. Στη συνέχεια, θα τους δοθεί πάλι πρόσβαση στο λειτουργικό τους σύστημα. Αφού συνδεθείτε στην ασφαλή λειτουργία των Windows, μπορούν να εκτελέσουν το msconfig.exe και να απενεργοποιήσουν την εκτέλεση του κακόβουλου λογισμικού.