Conosciamo tutti Fabiansomware, Esmeralda e Apocalypse ransomware. Per quelli che non lo sono, sono pezzi di codice malizioso tutti costruiti da una singolare banda criminale informatica. E ora, hanno fatto un ritorno e hanno aumentato il loro gioco con un altro potente po 'di infezione con il nome di " canguro ".

Il ransomware del canguro è noto per estorcere denaro da vittime innocenti. L'approccio utilizzato è vecchio ma efficace. Il ransomware è stato affermato per bloccare gli utenti dal loro computer, rendendolo inutilizzabile nel tentativo di convincerli a pagare. Ciò che distingue questo ransomware dalle altre varianti di cripto-malware è la sua falsa nota legale.

Proprio come il ransomware DXXD, gli utenti hanno un avviso lanciato in faccia dopo aver effettuato l'accesso. Inoltre, agli utenti viene negato il privilegio di avviare un Task Manager o accedere a Explorer.exe responsabile della visualizzazione dell'interfaccia utente di Windows. Quindi, agli utenti viene concesso un riscatto per riottenere l'accesso ai propri file e al proprio spazio personale.

Sebbene il blocco dello schermo possa essere disabilitato in Modalità provvisoria o premendo la combinazione di tasti ALT + F4, per molti utenti di computer occasionali, ciò potrebbe impedire loro di utilizzare il proprio computer.

Installazione del ransomware del canguro

Il processo di installazione del ransomware è significativamente diverso da altri approcci comuni. Invece di kit di exploit tradizionali, crack, siti compromessi o Trojan, il ransomware di canguro viene installato manualmente hackerando RDP.

Gli sviluppatori utilizzano Desktop remoto per ottenere l'accesso non autorizzato al computer di un utente ed eseguire il file infetto contenente il ransomware. Viene quindi visualizzata una schermata che mostra l'ID univoco della vittima e la relativa chiave di crittografia.

Selezionando copia e continua, gli utenti consentono al ransomware di avviare il processo di crittografia dei propri dati personali. Il ransomware aggiunge inoltre l'estensione .crypted_file al nome di un file crittografato. Dopo il completamento del processo, il ransomware mostra una schermata di blocco falsa. Suggerisce che esiste un problema critico con il computer e che i dati sono stati crittografati. Fornisce quindi istruzioni su come contattare lo sviluppatore all'indirizzo [email protected] per ripristinare i dati.

Come rimuovere Kangaroo ScreenLocker

Per riottenere l'accesso al desktop di Windows, gli utenti dovranno disabilitare l'esecuzione del file eseguibile Kangaroo. Per raggiungere questo obiettivo, l'utente di destinazione dovrà avviare il computer in modalità provvisoria di Windows. Quindi, gli verrà nuovamente concesso l'accesso al proprio sistema operativo. Una volta effettuato l'accesso alla modalità provvisoria di Windows, possono eseguire msconfig.exe e disabilitare l'esecuzione del malware.