Всички сме запознати с Fabiansomware, Esmeralda и откупния софтуер Apocalypse. За тези, които не са, те са парчета злонамерен код, всички създадени от единствена киберпрестъпна банда. И сега те се завърнаха и надградиха играта си с още една мощна зараза с името „ Кенгуру “.

Изкупуването на кенгуру е известно, че изнудва пари от невинни жертви. Използваният подход е стар, но ефективен. Изкупуващият софтуер е потвърден, за да блокира потребителите от компютъра си, което го прави недействителен в опит да ги убеди да платят. Това, което отличава този ransomware от останалите варианти на криптовалути, е фалшивото му правно уведомление.

Точно като DXXD откупуващия софтуер, потребителите имат известие, хвърлено в лицата си, след като влязат. Освен това на потребителите се отказва привилегията да стартират Task Manager или да имат достъп до Explorer.exe, който отговаря за показването на потребителския интерфейс на Windows. Тогава потребителите получават откуп за възстановяване на достъпа до своите файлове и личното им пространство.

Въпреки че скрийншотът може да бъде деактивиран в безопасен режим или чрез натискане на комбинацията от клавиши ALT + F4, за много случайни потребители на компютър това може да им попречи да използват компютъра си.

Инсталация на кенгуру

Процесът на инсталиране на ransomware е значително различен от другите общи подходи. Вместо масови експлоатационни комплекти, пукнатини, компрометирани сайтове или троянски коне, кенгурският откупник се инсталира ръчно чрез хакване в RDP.

Разработчиците използват отдалечен работен плот, за да получат неоторизиран достъп до компютъра на потребителя и да изпълнят заразения файл, съдържащ рансъмуера. След това се показва екран, който показва уникалния идентификационен номер на жертвата и техния ключ за криптиране.

Избирайки копиране и продължаване, потребителите позволяват на софтуера за отваряне да започне процеса на криптиране на техните лични данни. Изтеглящият софтуер също добавя разширението .crypted_file към името на криптиран файл. След приключване на процеса, ransomware показва фалшив заключен екран. Това предполага, че има критичен проблем с компютъра и че данните са били криптирани. След това той предоставя инструкции как да се свържете с програмиста на адрес [email protected], за да възстановите данните.

Как да премахнете кенгуру ScreenLocker

За да си възвърнат достъпа до работния си плот на Windows, потребителите ще трябва да деактивират изпълнението на кенгуруто. За да постигне това, целевият потребител ще трябва да зареди компютъра в безопасен режим на Windows. След това отново ще им бъде предоставен достъп до тяхната ОС. След като влязат в безопасен режим на Windows, те могат да стартират msconfig.exe и да деактивират злонамерения софтуер.