Friendoffriends
We zijn allemaal bekend met de Fabiansomware, Esmeralda en de Apocalypse-ransomware. Voor degenen die dat niet zijn, het zijn stukjes kwaadaardige code die allemaal zijn geconstrueerd door een enkele cybercriminele bende. En nu zijn ze teruggekeerd en hebben ze hun spel verbeterd met nog een krachtig stukje infectie met de naam 'Kangoeroe'.
De Kangaroo ransomware staat bekend om het afpersen van geld van onschuldige slachtoffers. De gebruikte benadering is oud maar effectief. Er is bevestigd dat de ransomware gebruikers uitsluit van hun computer, waardoor deze onbruikbaar wordt in een poging hen te overtuigen om te betalen. Wat deze ransomware onderscheidt van andere crypto-malwarevarianten, is de valse juridische kennisgeving.
Net als de DXXD-ransomware krijgen gebruikers een melding in hun gezicht nadat ze zich hebben aangemeld. Bovendien wordt gebruikers het recht ontzegd om een Taakbeheer te starten of toegang te krijgen tot Explorer.exe die verantwoordelijk is voor het weergeven van de Windows-gebruikersinterface. Vervolgens krijgen gebruikers losgeld om weer toegang te krijgen tot hun bestanden en hun persoonlijke ruimte.
Hoewel de schermvergrendeling kan worden uitgeschakeld in de veilige modus of door op de ALT + F4 toetsencombinatie, voor veel informele computergebruikers kan dit voorkomen dat ze hun computer gebruiken.
Kangaroo ransomware installatie
Het installatieproces van de ransomware verschilt aanzienlijk van andere gangbare benaderingen. In plaats van reguliere exploitkits, cracks, gecompromitteerde sites of Trojaanse paarden, wordt Kangaroo-ransomware handmatig geïnstalleerd door in RDP te hacken.
Ontwikkelaars gebruiken Remote Desktop om ongeautoriseerde toegang te krijgen tot de computer van een gebruiker en het geïnfecteerde bestand met de ransomware uit te voeren. Er wordt dan een scherm weergegeven met de unieke ID van het slachtoffer en hun coderingssleutel.
Door kopiëren en doorgaan te selecteren, laten gebruikers de ransomware het coderingsproces van hun persoonlijke gegevens starten. De ransomware voegt ook de .crypted_file extensie toe aan de naam van een gecodeerd bestand. Nadat het proces is voltooid, toont de ransomware een nep-vergrendelingsscherm. Het suggereert dat er een kritiek probleem is met de computer en dat de gegevens zijn gecodeerd. Vervolgens worden instructies gegeven over hoe u contact kunt opnemen met de ontwikkelaar via [email protected] om de gegevens te herstellen.
Hoe de Kangaroo ScreenLocker te verwijderen
Om weer toegang te krijgen tot hun Windows-bureaublad, moeten gebruikers het uitvoerbare bestand Kangaroo uitschakelen. Om dit te bereiken, moet de beoogde gebruiker de computer opstarten in de veilige modus van Windows. Daarna krijgen ze weer toegang tot hun besturingssysteem. Nadat ze zijn aangemeld bij de Windows Veilige modus, kunnen ze de msconfig.exe uitvoeren en de malware uitschakelen.
