We zijn allemaal bekend met de Fabiansomware, Esmeralda en de Apocalypse-ransomware. Voor degenen die dat niet zijn, het zijn stukjes kwaadaardige code die allemaal zijn gemaakt door een cybercriminele bende. En nu hebben ze een terugkeer gemaakt en hun spel opgevoerd met nog een krachtig stukje infectie met de naam ' Kangaroo '.

Het is bekend dat de Kangaroo-ransomware geld van onschuldige slachtoffers afperst. De gebruikte aanpak is oud maar effectief. De ransomware is bevestigd om gebruikers van hun computer te vergrendelen, waardoor het onbruikbaar wordt in een poging om hen te overtuigen om te betalen. Wat deze ransomware onderscheidt van andere crypto-malware-varianten, is de valse juridische kennisgeving.

Net als de DXXD-ransomware hebben gebruikers een melding in hun gezicht gegooid nadat ze zijn ingelogd. Bovendien wordt gebruikers het recht ontzegd om een ​​Taakbeheer te starten of toegang te krijgen tot Explorer.exe die verantwoordelijk is voor het weergeven van de Windows UI. Vervolgens krijgen gebruikers een losgeld om weer toegang te krijgen tot hun bestanden en hun persoonlijke ruimte.

Hoewel de schermvergrendeling kan worden uitgeschakeld in de veilige modus of door op de toetsencombinatie ALT + F4 te drukken, kan dit voor veel informele computergebruikers voorkomen dat ze hun computer gebruiken.

Kangaroo ransomware-installatie

Het installatieproces van de ransomware verschilt aanzienlijk van andere gangbare benaderingen. In plaats van reguliere exploitkits, scheuren, gecompromitteerde sites of Trojaanse paarden, wordt Kangaroo ransomware handmatig geïnstalleerd door RDP te hacken.

Ontwikkelaars gebruiken Remote Desktop om ongeautoriseerde toegang tot de computer van een gebruiker te krijgen en het geïnfecteerde bestand met de ransomware uit te voeren. Er wordt dan een scherm getoond met de unieke ID van het slachtoffer en hun coderingssleutel.

Door kopiëren en doorgaan te selecteren, staan ​​gebruikers toe dat de ransomware het coderingsproces van hun persoonlijke gegevens start. De ransomware voegt ook de extensie .crypted_file toe aan de naam van een gecodeerd bestand. Na voltooiing van het proces toont de ransomware een nep vergrendelscherm. Het suggereert dat er een kritiek probleem is met de computer en dat de gegevens zijn gecodeerd. Vervolgens worden instructies gegeven over hoe u contact kunt opnemen met de ontwikkelaar via [email protected] om de gegevens te herstellen.

Hoe de Kangaroo ScreenLocker te verwijderen

Om weer toegang te krijgen tot hun Windows-bureaublad, moeten gebruikers het Kangaroo-uitvoerbare bestand uitschakelen. Om dit te bereiken, moet de beoogde gebruiker de computer opstarten in de veilige modus van Windows. Daarna krijgen ze weer toegang tot hun besturingssysteem. Nadat ze zijn aangemeld bij de veilige modus van Windows, kunnen ze msconfig.exe uitvoeren en de malware uitschakelen.