Friendoffriends
Conosciamo tutti i ransomware Fabiansomware, Esmeralda e Apocalypse. Per coloro che non lo sono, sono pezzi di codice dannoso tutti costruiti da una singola banda di criminali informatici. E ora, sono tornati e hanno aumentato il loro gioco con un'altra potente infezione con il nome 'Canguro'.
Il Kangaroo ransomware è noto per estorcere denaro a vittime innocenti. L'approccio utilizzato è vecchio ma efficace. È stato affermato che il ransomware blocca gli utenti dal proprio computer, rendendolo inutilizzabile nel tentativo di convincerli a pagare. Ciò che distingue questo ransomware dalle altre varianti di cripto-malware è il suo falso avviso legale.
Proprio come il ransomware DXXD, gli utenti hanno un avviso in faccia dopo aver effettuato l'accesso. Inoltre, agli utenti viene negato il privilegio di avviare un Task Manager o accedere a Explorer.exe responsabile della visualizzazione dell'interfaccia utente di Windows. Quindi, agli utenti viene fornito un riscatto per riottenere l'accesso ai propri file e al proprio spazio personale.
Anche se il blocco schermo può essere disabilitato in modalità provvisoria o premendo il tasto ALT + F4 combinazione di tasti, per molti utenti occasionali di computer, ciò potrebbe impedire loro di utilizzare il proprio computer.
Installazione di Kangaroo ransomware
Il processo di installazione del ransomware è significativamente diverso da altri approcci comuni. Invece di kit di exploit tradizionali, crack, siti compromessi o trojan, il ransomware Kangaroo viene installato manualmente hackerando RDP.
Gli sviluppatori utilizzano Desktop remoto per ottenere l'accesso non autorizzato al computer di un utente ed eseguire il file infetto contenente il ransomware. Viene quindi visualizzata una schermata che mostra l'ID univoco della vittima e la sua chiave di crittografia.
Selezionando copia e continua, gli utenti consentono al ransomware di avviare il processo di crittografia dei propri dati personali. Il ransomware aggiunge anche l'estensione .crypted_file estensione al nome di un file crittografato. Dopo il completamento del processo, il ransomware mostra una falsa schermata di blocco. Suggerisce che c'è un problema critico con il computer e che i dati sono stati crittografati. Fornisce quindi istruzioni su come contattare lo sviluppatore all'indirizzo [email protected] per ripristinare i dati.
Come rimuovere Kangaroo ScreenLocker
Per riottenere l'accesso al desktop di Windows, gli utenti dovranno disabilitare l'esecuzione dell'eseguibile Kangaroo. Per ottenere ciò, l'utente mirato dovrà avviare il computer in modalità provvisoria di Windows. Quindi, verrà nuovamente concesso l'accesso al proprio sistema operativo. Una volta effettuato l'accesso in modalità provvisoria di Windows, possono eseguire msconfig.exe e disabilitare l'esecuzione del malware.
