Friendoffriends
Vi er alle kjent med Fabiansomware, Esmeralda og Apocalypse ransomware. For de som ikke er det, er de stykker av ondsinnet kode, alle konstruert av en nettkriminell gjeng. Og nå har de kommet tilbake og økt spillet sitt med nok en kraftig smitte med navnet 'Kenguru'.
De Kangaroo løsepenger er kjent for å presse penger fra uskyldige ofre. Tilnærmingen som brukes er en gammel, men likevel effektiv. Ransomware har blitt bekreftet for å låse brukere utenfor datamaskinen, noe som gjør den ubrukelig i et forsøk på å overbevise dem om å betale opp. Det som får denne løsepenger til å skille seg ut fra andre krypto-malware-varianter, er dens falske juridiske merknad.
Akkurat som DXXD-ransomware, har brukerne et varsel kastet i ansiktet etter at de logger seg på. Dessuten nektes brukere rettigheten til å starte en oppgavebehandling eller få tilgang til Explorer.exe som er ansvarlig for å vise Windows UI. Deretter får brukerne løsepenger for å få tilbake tilgang til filene og deres personlige plass.
Selv om skjermskapet kan deaktiveres i sikkermodus eller ved å trykke på ALT + F4 tastekombinasjon, for mange tilfeldige databrukere, kan dette forhindre dem i å bruke datamaskinen.
Kangaroo ransomware installasjon
Installasjonsprosessen av løsepenger er vesentlig forskjellig fra andre vanlige tilnærminger. I stedet for vanlige utnyttelsessett, sprekker, kompromitterte nettsteder eller trojanere, installeres Kangaroo ransomware manuelt ved å hacke seg inn i RDP.
Utviklere bruker Remote Desktop for å få uautorisert tilgang til brukerens datamaskin og utføre den infiserte filen som inneholder løsepenger. Deretter vises en skjerm som viser offerets unike ID og krypteringsnøkkel.
Ved å velge kopier og fortsett tillater brukere ransomware å starte krypteringsprosessen av deres personlige data. Ransomware legger også til .crypted_file utvidelse til navnet på en kryptert fil. Etter at prosessen er fullført, viser ransomware en falsk låseskjerm. Det antyder at det er et kritisk problem med datamaskinen, og at dataene ble kryptert. Deretter gir den instruksjoner om hvordan du kontakter utvikleren på [email protected] for å gjenopprette dataene.
Hvordan fjerne Kangaroo ScreenLocker
For å få tilbake tilgang til Windows-skrivebordet, må brukerne deaktivere kjøringen av Kangaroo fra å kjøre. For å oppnå dette, må den målrettede brukeren starte datamaskinen i Windows Safe Mode. Deretter vil de få tilgang til operativsystemet sitt igjen. Når de er logget inn i Windows Safe Mode, kan de kjøre msconfig.exe og deaktivere kjøring av skadelig programvare.
