Nous connaissons tous les fabiansomware, Esmeralda et le ransomware Apocalypse. Pour ceux qui ne le sont pas, ce sont des morceaux de code malveillant, tous construits par un gang de cybercriminels. Et maintenant, ils ont fait un retour et amélioré leur jeu avec une autre infection puissante avec le nom " Kangaroo ".

Le rançongiciel Kangaroo est connu pour extorquer de l'argent à des victimes innocentes. L'approche utilisée est à la fois ancienne et efficace. Le ransomware a été affirmé pour verrouiller les utilisateurs de leur ordinateur, le rendant inutilisable dans le but de les convaincre de payer. Ce faux ransomware se démarque des autres variantes de crypto-malware, c’est sa fausse notice légale.

Tout comme pour le ransomware DXXD, les utilisateurs reçoivent une notification après s'être connectés. De plus, ils ne sont pas autorisés à démarrer un gestionnaire de tâches ni à accéder à Explorer.exe responsable de l'affichage de l'interface utilisateur Windows. Ensuite, les utilisateurs reçoivent une rançon pour pouvoir accéder à leurs fichiers et à leur espace personnel.

Bien que le casier d'écran puisse être désactivé en mode sans échec ou en appuyant sur la combinaison de touches ALT + F4, pour de nombreux utilisateurs d'ordinateur occasionnels, cela pourrait les empêcher d'utiliser leur ordinateur.

Installation de Kangaroo ransomware

Le processus d'installation du logiciel ransomware est très différent des autres approches courantes. Au lieu des kits d’exploitation classiques, des fissures, des sites compromis ou des chevaux de Troie, Kangaroo Ransomware s’installe manuellement en piratant RDP.

Les développeurs utilisent Remote Desktop pour obtenir un accès non autorisé à l'ordinateur d'un utilisateur et exécuter le fichier infecté contenant le ransomware. Un écran est ensuite affiché qui affiche l'identifiant unique de la victime et sa clé de cryptage.

En sélectionnant copier et continuer, les utilisateurs permettent au ransomware de démarrer le processus de chiffrement de leurs données personnelles. Le ransomware ajoute également l'extension .crypted_file au nom d'un fichier crypté. Une fois le processus terminé, le ransomware affiche un faux écran de verrouillage. Cela suggère qu'il y a un problème critique avec l'ordinateur et que les données ont été cryptées. Il fournit ensuite des instructions sur la façon de contacter le développeur à l'adresse [email protected] pour restaurer les données.

Comment enlever le Kangaroo ScreenLocker

Pour reprendre l'accès à leur bureau Windows, les utilisateurs devront désactiver l'exécution de l'exécutable Kangaroo. Pour ce faire, l'utilisateur ciblé devra démarrer l'ordinateur en mode sans échec Windows. Ensuite, ils auront à nouveau accès à leur système d'exploitation. Une fois connectés en mode sans échec Windows, ils peuvent exécuter le fichier msconfig.exe et empêcher le programme malveillant de s'exécuter.