Tots coneixem el Fabiansomware, l'Esmeralda i el ransomware Apocalipsi. Per als que no ho són, són trossos de codi maliciós tots construïts per una banda cibercriminal singular. I ara, han tornat i han augmentat el seu joc amb una altra infecció potent amb el nom de " Cangur ".

Se sap que el ransomware Cangur extorba diners de víctimes innocents. L'enfocament emprat és un antic però eficaç. S'ha afirmat que el ransomware impedeix bloquejar els usuaris des del seu ordinador, fent-lo inoperable amb la intenció de convèncer-los que paguen. El que fa que aquest ransomware es distingeixi d’altres variants de cripto-malware és el seu fals avís legal.

De la mateixa manera que el ransomware DXXD, els usuaris tenen un avís a la cara després de iniciar la sessió. A més, se'ls nega el privilegi d'iniciar un Task Manager o accedir a Explorer.exe, responsable de mostrar la interfície d'usuari de Windows. A continuació, els usuaris reben un rescat per recuperar l’accés als seus fitxers i al seu espai personal.

Tot i que el bloqueig de pantalla es pot desactivar en mode segur o prement la combinació de tecles ALT + F4, per a molts usuaris informàtics ocasionals, això podria evitar que utilitzin l’ordinador.

Instal·lació de ransomware Cangur

El procés d'instal·lació del ransomware és significativament diferent d'altres enfocaments habituals. En lloc dels kits d’explotació mainstream, esquerdes, llocs compromesos o troians, el ransomware cangur s’instal·la manualment mitjançant l’hackeig a la RDP.

Els desenvolupadors utilitzen Escriptori remot per obtenir accés no autoritzat a l’ordinador d’un usuari i executar el fitxer infectat que conté el ransomware. A continuació, es mostra una pantalla que mostra l’ID exclusiu de la víctima i la seva clau de xifrat.

Seleccionant còpia i continuació, els usuaris permeten al ransomware iniciar el procés de xifrat de les seves dades personals. El ransomware també adjunta l’ extensió .crypted_file al nom d’un fitxer xifrat. Un cop finalitzat el procés, el ransomware mostra una pantalla de bloqueig falsa. Suggereix que hi ha un problema crític amb l’ordinador i que les dades van ser xifrades. A continuació, proporciona instruccions sobre com contactar amb el desenvolupador a [email protected] per restaurar les dades.

Com eliminar Kangaroo ScreenLocker

Per recuperar l'accés al seu escriptori de Windows, els usuaris hauran de desactivar l'executable de Cangur per a executar-lo. Per aconseguir-ho, l’usuari destinatari haurà d’iniciar l’ordinador al mode segur de Windows. Aleshores, se'ls concedirà accés al sistema operatiu de nou. Un cop connectats al mode segur de Windows, poden executar el msconfig.exe i desactivar el malware que s’execute.