Вымогательское ПО Kangaroo блокирует доступ в Windows

image

Теги: вымогательское ПО, шифрование, блокировка, Windows

Авторы Kangaroo взламывают и инфицируют целевые системы вручную при помощи Remote Desktop.

Разработчики вымогательского ПО Apocalypse и его вариаций Fabiansomware и Esmeralda выпустили новый криптовымогатель под названием Kangaroo. Основное отличие вредоноса заключается в том, что он не только шифрует файлы на компьютере жертвы, но и пытается блокировать пользователю доступ в Windows до тех пор, пока требуемая за восстановление файлов сумма не будет выплачена.

Согласно ресурсу BleepingComputer, сообщение с требованием выкупа отображается перед экраном логина, блокируя возможность входа в систему. Вредонос также останавливает процесс Explorer и предотвращает запуск «Менеджера задач». Обойти блокировку возможно при помощи загрузки операционной системы в безопасном режиме или при помощи комбинации клавиш ALT+F4.

В отличие от других вредоносов подобного рода, распространяющихся посредством наборов эксплоитов, скомпрометированных сайтов или спама, авторы Kangaroo взламывают и инфицируют целевые системы вручную при помощи Remote Desktop.

После запуска вредонос отображает уникальный идентификатор жертвы и ключ шифрования, который вирусописатели копируют. Далее Kangaroo приступает к шифрованию файлов на компьютере, добавляя к каждому имени файла расширение .crypted_file. Кроме того, вредонос создает отдельное требование выкупа для каждого зашифрованного файла. По окончании процесса Kangaroo отображает сообщение, уведомляющее пользователя о блокировке доступа к его данным.

В настоящее время восстановить файлы, зашифрованные Kangaroo, невозможно.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.