Lo que hace que esta versión destaque un poco más es el uso de un aviso legal como una nota de rescate que se muestra a todas las víctimas antes de que inicie sesión en su ordenador.
Por este motivo es por lo que una víctima tiene que ver la nota de rescate antes de que sean capaces de iniciar sesión en Windows.Debido a la terminación de los procesos ransomware Explorer cuando comenzó la prevención de la puesta en marcha del Administrador de tareas, esencialmente bloquea un usuario fuera de de Windows hasta que pague el rescate o elimine la infección. Aunque el screenlocker se puede desactivar en modo seguro o presionando ALT + F4, para muchos usuarios casuales de computadora esto les impediría el uso de su ordenador.
A diferencia de la mayoría de otras infecciones ransomware, esta familia no se transmite a través de paquetes de exploits, grietas, sitios comprometidos, o troyanos, pero no por el desarrollador de la piratería en las computadoras manualmente utilizando el escritorio remoto. Cuando se hackea un ordenador y ejecuta el ransomware, una pantalla se mostrará que contiene la identificación única de la víctima y su clave de cifrado.
Cuando el desarrollador hace clic en Copiar y Continuar, la información será copiado en el portapapeles de Windows para que el desarrollador puede guardarlo. El ransomware entonces comenzará a cifrar los archivos del equipo y anexará la extensión .crypted_file al nombre de un archivo cifrado. Este ransomware también realiza la extraña práctica de crear una nota de rescate individual para cada archivo que está cifrada. Estas notas de rescate estarán en el formato de filename.Instructions_Data_Recovery.txt. Por ejemplo, test.jpg.Instructions_Data_Recovery.txt.
Cuando haya terminado Kangaroo mostrará una pantalla de bloqueo que muestra una pantalla falsa lo que implica que hay un problema crítico con el equipo y que los datos se cifran. A continuación, proporciona instrucciones sobre cómo ponerse en contacto con el desarrollador en kangarooencryption@mail.ru para restaurar los datos.
Este ransomware también configurará el HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText" valor del registro para que muestre un aviso legal que un usuario debe leer antes de que se muestran el símbolo de inicio de sesión de Windows. Esto garantiza que la víctima, o administrador de un ordenador, verán la nota de rescate la próxima vez que inicie sesión.
Si bien en este momento, no hay manera de descifrar los archivos cifrados de forma gratuita, es posible eliminar la porción screenlocker para que las víctimas puedan utilizar su equipo de nuevo.
COMO SACAR EL RANSOMWARE PARA UTILIZAR SU ORDENADOR. ESTOS PASOS NO DESENCRIPTA LOS ARCHIVOS CIFRADOS POR EL RANSOMWARE
Advertencia: Sólo siga estos pasos si no planea pagar el rescate. Al eliminar el ejecutable ransomware, usted no será capaz de pagar y descifrar sus archivos en una fecha posterior.
Con el fin de obtener acceso al escritorio de Windows de nuevo, una víctima tendrá que desactivar el ejecutable Kangaroo se ejecute. Para ello, la víctima tiene que arrancar el equipo en modo seguro de Windows para que puedan tener acceso al escritorio de Windows de nuevo. Una vez iniciado sesión en modo seguro de Windows, pueden ejecutar el msconfig.exe y desactivar el malware que se ejecute.
Para iniciar msconfig, simplemente haga clic en el botón Inicio y en el campo de búsqueda, escriba msconfig. Cuando los resultados de la búsqueda muestran msconfig.exe haga clic en él.
Cuando se inicia Msconfig, haga clic en el inicio ficha y desactive las entradas que tienen el C:\Archivos de programa (x86)\explorer.exe Windows NT\ .
Una vez que ha desactivado las entradas asociadas, haga clic en el Aplicar y Aceptar botón, pero no permita que el equipo se reinicie todavía.
Ahora tenemos que iniciar el panel de control del programador de tareas y eliminar una tarea asociada que puede haber sido creado. Para iniciar el programador de tareas, sólo tiene que buscar el programador de tareas en el menú de inicio y haga clic en su resultado de búsqueda. Cuando el programador de tareas se abre, buscar una tarea que contiene una serie de caracteres y números. Por ejemplo, en mi equipo de ensayo de la tarea fue nombrado CA334104-D8EF-4C36-BCD7-2ECE003D03B6}.
Para asegurarse de encontrar la tarea correcta, puede hacer doble clic en él para abrir sus propiedades. A continuación, debe hacer clic en la acción ficha para confirmar que el programa que se ejecutará es el ejecutable para el ransomware Kangaroo.
Una vez que haya identificado la tarea adecuada, puede hacer clic derecho sobre él y eliminarlo.
El ransomware Kangaroo Ahora se quita del equipo y se puede reiniciar de nuevo el ordenador para que Windows se inicia normalmente. Una vez que se ha identificado de nuevo en Windows, se debe realizar un análisis de seguridad con su antivirus preferido o un producto anti-malware.
Por desgracia, los archivos cifrados por el ransomware Kangaroo no se pueden descifrar de forma gratuita.
La única manera de recuperar los archivos cifrados es a través de una copia de seguridad, o si usted es una suerte increíble, a través de instantáneas de volumen. A pesar de que Kangaroo no intente quitar las instantáneas de volumen, en casos raros, las infecciones ransomware no lo hacen por cualquier razón. Debido a esto, si usted no tiene una copia de seguridad viable, siempre sugerir la gente trata como un último recurso para restaurar archivos cifrados desde instantáneas de volumen.
Archivos asociados con el Kangaroo ransomware
C:\Program Files (x86)\Windows NT\explorer.exe
Las entradas del registro asociadas con al Kangaroo ransomware
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."
Fecha actualización el 2021-7-9. Fecha publicación el 2016-11-29. Categoría: Malware. Autor: Oscar olg Mapa del sitio
