Todos estamos familiarizados con el Fabiansomware, Esmeralda, y el Apocalypse ransomware. Para aquellos que no lo son, son piezas de código malicioso, todas ellas construidas por una banda cibercriminal. Y ahora, han vuelto y han mejorado su juego con otro poderoso trozo de infección con el nombre Kangaroo .
Se sabe que el Kangaroo ransomware extorsiona a víctimas inocentes. El enfoque utilizado es antiguo pero eficaz. El software de rescate ha sido afirmado para bloquear a los usuarios de su ordenador, haciéndolo inoperable en un intento de convencerlos de que paguen. Lo que hace que este ransomware destaque de otras variantes de cripto-malware es su aviso legal falso.
Al igual que el software de rescate DXXD, a los usuarios se les pone un aviso en la cara después de iniciar sesión. Además, a los usuarios se les niega el privilegio de iniciar un Administrador de tareas o acceder al Explorer.exe responsable de mostrar la interfaz de usuario de Windows. A continuación, los usuarios reciben un rescate para recuperar el acceso a sus archivos y a su espacio personal.
Aunque el locker de pantalla puede ser desactivado en Modo a prueba de fallos o presionando la combinación de teclas ALT+F4 , para muchos usuarios ocasionales de computadoras, esto podría impedirles usar su computadora.
Instalación de Kangaroo ransomware
El proceso de instalación del ransomware es significativamente diferente de otros enfoques comunes. En lugar de kits de explotación, grietas, sitios comprometidos o troyanos, Kangaroo ransomware se instala manualmente pirateando el RDP.
Los desarrolladores utilizan Escritorio remoto para obtener acceso no autorizado al equipo de un usuario y ejecutar el archivo infectado que contiene el software de rescate. A continuación, se muestra una pantalla que muestra el ID único de la víctima y su clave de encriptación.
Al seleccionar copiar y continuar, los usuarios permiten que el software de rescate inicie el proceso de cifrado de sus datos personales. El ransomware también agrega la extensión .crypted_file al nombre de un archivo cifrado. Una vez finalizado el proceso, el programa de rescate muestra una pantalla de bloqueo falso. Esto sugiere que hay un problema crítico con la computadora y que los datos fueron encriptados. A continuación, proporciona instrucciones sobre cómo ponerse en contacto con el desarrollador en [email protected] para restaurar los datos.
Cómo quitar el Kangaroo ScreenLocker
Para recuperar el acceso al escritorio de Windows, los usuarios deberán deshabilitar el ejecutable de Kangaroo para que no se ejecute. Para lograr esto, el usuario objetivo necesitará arrancar el ordenador en el Modo a prueba de fallos de Windows. Entonces, se les concederá acceso a su sistema operativo de nuevo. Una vez que han iniciado sesión en el Modo a prueba de fallos de Windows, pueden ejecutar msconfig.exe e impedir que se ejecute el malware.