Vi er alle kjent med Fabiansomware, Esmeralda og Apocalypse ransomware. For de som ikke er det, er de biter av ondsinnet kode som alle er konstruert av entall en nettkriminell gjeng. Og nå har de kommet tilbake og lagt opp spillet sitt med en annen kraftig smittebit med navnet ' Kangaroo '.

Kangaroo ransomware er kjent for å presse ut penger fra uskyldige ofre. Tilnærmingen som brukes er en gammel, men likevel effektiv. Ransomware er blitt bekreftet for å låse brukere ute fra datamaskinen sin, noe som gjør det ubrukelig i et forsøk på å overbevise dem om å betale opp. Det som får denne ransomware til å skille seg ut fra andre krypto-malware-varianter, er dens falske juridiske varsel.

Akkurat som DXXD ransomware, har brukere et varsel kastet i ansiktet etter at de har logget seg inn. Dessuten blir brukere nektet privilegiet å starte en oppgavebehandling eller få tilgang til Explorer.exe som er ansvarlig for å vise Windows UI. Deretter får brukerne løsepenger for å gjenvinne tilgang til filene og deres personlige plass.

Selv om skjermskapet kan deaktiveres i sikkermodus eller ved å trykke på ALT + F4 tastekombinasjonen, for mange tilfeldige databrukere, kan dette forhindre dem i å bruke datamaskinen sin.

Kangaroo ransomware-installasjon

Installasjonsprosessen for ransomware skiller seg betydelig fra andre vanlige tilnærminger. I stedet for mainstream-utnyttelsessett, sprekker, kompromitterte nettsteder eller trojanere, installeres Kangaroo ransomware manuelt ved å hacking inn i RDP.

Utviklere bruker Remote Desktop for å få uautorisert tilgang til brukerens datamaskin og utføre den infiserte filen som inneholder ransomware. Deretter vises en skjerm som viser offerets unike ID og krypteringsnøkkelen.

Ved å velge kopiere og fortsette lar brukere ransomware starte krypteringsprosessen for deres personlige data. Ransomware legger også til .crypted_file- utvidelsen til navnet på en kryptert fil. Etter fullført prosess viser ransomware en falsk låseskjerm. Det antyder at det er et kritisk problem med datamaskinen, og at dataene ble kryptert. Den gir deretter instruksjoner om hvordan du kontakter utvikleren på [email protected] for å gjenopprette dataene.

Slik fjerner du Kangaroo ScreenLocker

For å gjenvinne tilgang til Windows-skrivebordet, må brukere deaktivere den kjørbare Kangaroo fra å kjøre. For å oppnå dette, må den målrettede brukeren starte opp datamaskinen i Windows Safe Mode. Deretter vil de få tilgang til operativsystemet igjen. Når de er logget inn i Windows Safe Mode, kan de kjøre msconfig.exe og deaktivere skadelig programvare fra å kjøre.