Mindannyian ismerjük a Fabiansomware, az Esmeralda és az Apocalypse ransomware szoftvereket. Azok számára, akik nem, azok egy rosszindulatú kód darabjai, amelyek mindegyikét kiberbűnözői bandák hoztak létre. És most visszatértek és kiegészítették a játékot egy újabb erőteljes fertőzéssel, melynek neve „ Kenguru ”.

A kenguru váltságdíjas szoftverről ismert, hogy ártatlan áldozatok pénzéből kihúzza a pénzt. Az alkalmazott megközelítés régi, de hatékony. A ransomware megerősítette, hogy kizárja a felhasználókat a számítógépről, és így működésképtelenné teszi azt, hogy meggyőzzék őket a fizetésről. A hamis jogi nyilatkozat miatt ez a ransomware különbözik a kripto-kártevő szoftverek többi változatától.

Csakúgy, mint a DXXD ransomware, a felhasználóknak a bejelentkezés után az arcukra dobtak egy értesítést. Sőt, a felhasználókat megtagadják a jogosultsággal, hogy elindítsák a Feladatkezelőt vagy belépjenek a Windows felhasználói felület megjelenítéséért felelős Explorer.exe fájlba. Ezután a felhasználók váltságdíjat kapnak, hogy visszakapjanak a fájlokhoz és a személyes térükhöz.

Bár a képernyőzárt biztonságos módban vagy az ALT + F4 billentyűkombináció megnyomásával le lehet tiltani, sok hétköznapi számítógép-felhasználó számára ez megakadályozhatja a számítógépet.

Kenguru ransomware telepítése

A ransomware telepítési folyamata jelentősen különbözik a többi általános megközelítéstől. A mainstream kihasználó készletek, repedések, veszélyeztetett helyek vagy trójaiak helyett a Kenguru ransomware manuálisan települ az RDP-be történő feltöréssel.

A fejlesztők a Távoli Asztal használatával jogosulatlanul férnek hozzá a felhasználó számítógépéhez, és végrehajthatják a megdöntött szoftvert tartalmazó fertőzött fájlt. Ezután megjelenik egy képernyő, amely megjeleníti az áldozat egyedi azonosítóját és titkosítási kulcsát.

A másolás és a folytatás kiválasztásával a felhasználók engedélyezhetik a ransomware-nek a személyes adatainak titkosítási folyamatának megkezdését. A ransomware a .crypted_file kiterjesztést a titkosított fájl nevéhez is hozzáfűzi. A folyamat befejezése után a ransomware hamis zár képernyőt jelenít meg. Arra utal, hogy kritikus probléma merült fel a számítógéppel, és az adatok titkosítva voltak. Ezután útmutatást ad arról, hogyan lehet kapcsolatba lépni a fejlesztővel a [email protected] e-mail címen az adatok visszaállításához.

A Kenguru képernyővédő eltávolítása

A Windows asztalához való hozzáférés visszaszerzéséhez a felhasználóknak le kell tiltaniuk a Kenguru végrehajtható program futását. Ennek eléréséhez a célzott felhasználónak a számítógépet Windows biztonságos módba kell indítania. Ezután ismét hozzáférést kapnak operációs rendszerükhöz. Miután bejelentkeztek a Windows biztonságos módba, futtathatják az msconfig.exe fájlt, és letilthatják a rosszindulatú programok futtatását.