El Canguro Ransomware no sólo cifra sus datos sino que intenta bloquearlos fuera de Windows



El canguro ransomware es la última ransomware desde el desarrollador detrás de la apocalipsis ransomware, Fabiansomware y Esmeralda . Lo que hace que esta versión se destacan un poco más es el uso de un aviso legal como una nota de rescate que se muestra a todas las víctimas antes de que inicie sesión en su ordenador. Por este motivo es por lo que una víctima tiene que ver la nota de rescate antes de que sean capaces de iniciar sesión en Windows.

También, debido a la terminación de los procesos ransomware Explorer cuando comenzó y la prevención de la puesta en marcha del Administrador de tareas, que esencialmente bloquea un usuario fuera de de Windows hasta que paguen el rescate o eliminar la infección. Aunque el screenlocker se puede desactivar en modo seguro o presionando el ALT + F4 combinación de teclado, para muchos usuarios casuales de computadora esta esencialmente les impediría el uso de su ordenador.


Canguro se instala manualmente por la piratería en RDP

A diferencia de la mayoría de otras infecciones ransomware, esta familia no se transmite a través de paquetes de exploits, grietas, sitios comprometidos, o troyanos, pero no por el desarrollador de la piratería en las computadoras manualmente utilizando el escritorio remoto. Cuando el dev hackea un ordenador y ejecuta el ransomware, una pantalla se mostrará que contiene la identificación única de la víctima y su clave de cifrado.

Canguro que muestra la clave de cifrado



Cuando el desarrollador hace clic en Copiar y Continuar , la información será copiado en el portapapeles de Windows para que el desarrollador puede guardarlo. El ransomware entonces comenzará a cifrar los archivos del equipo y anexará la .crypted_file extensión al nombre de un archivo cifrado. Este ransomware también realiza la extraña práctica de crear una nota de rescate individual para cada archivo que está cifrada. Estas notas de rescate estarán en el formato de filename.Instructions_Data_Recovery.txt. Por ejemplo, test.jpg.Instructions_Data_Recovery.txt.

Cuando haya terminado canguro mostrará una pantalla de bloqueo que muestra una pantalla falsa lo que implica que hay un problema crítico con el equipo y que los datos se cifran. A continuación, proporciona instrucciones sobre cómo ponerse en contacto con el desarrollador en [email protected] para restaurar los datos.

Pantalla de bloqueo del canguro



Este ransomware también configurará el HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon "LegalNoticeText" valor del registro para que muestre un aviso legal que un usuario debe leer antes de que se muestran el símbolo de inicio de sesión de Windows. Esto garantiza que la víctima, o administrador de un ordenador, verán la nota de rescate la próxima vez que inicie sesión.

Canguro Aviso Legal



Si bien en este momento, no hay manera de descifrar los archivos cifrados de forma gratuita, es posible eliminar la porción screenlocker para que las víctimas puedan utilizar su equipo de nuevo. Para aquellos que necesitan ayuda con esto, proporciono instrucciones de la siguiente sección.


Extracción del canguro ScreenLocker

Advertencia: Sólo siga estos pasos si no planea pagar el rescate. Al eliminar el ejecutable ransomware, usted no será capaz de pagar y descifrar sus archivos en una fecha posterior.

Con el fin de obtener acceso al escritorio de Windows de nuevo, una víctima tendrá que desactivar el ejecutable canguro se ejecute. Para ello, la víctima tiene que arrancar el equipo en modo seguro de Windows para que puedan tener acceso al escritorio de Windows de nuevo. Una vez iniciado sesión en modo seguro de Windows, pueden correr el msconfig.exe y desactivar el malware se ejecute.

Para iniciar msconfig, simplemente haga clic en el botón Inicio y en el campo de búsqueda, escriba msconfig . Cuando los resultados de la búsqueda muestran msconfig.exe como se ve en la imagen de abajo, por favor haga clic en él.

De inicio Msconfig



Cuando se inicia Msconfig, haga clic en el inicio ficha y desactive las entradas que tienen el C: \ Archivos de programa (x86) \ explorer.exe Windows NT \ comando como se muestra por la entrada resaltada a continuación.


msconfig


Una vez que ha desactivado las entradas asociadas, haga clic en el Aplicar y Aceptar botón, pero no permita que el equipo se reinicie todavía.

Ahora tenemos que iniciar el panel de control del programador de tareas y eliminar una tarea asociada que puede haber sido creado. Para iniciar el programador de tareas, sólo tiene que buscar el programador de tareas en el menú de inicio y haga clic en su resultado de búsqueda. Cuando el programador de tareas se abre, buscar una tarea que contiene una serie de caracteres y números. Por ejemplo, en mi equipo de ensayo de la tarea fue nombrado CA334104-D8EF-4C36-BCD7-2ECE003D03B6}.

Para asegurarse de encontrar la tarea correcta, puede hacer doble clic en él para abrir sus propiedades. A continuación, debe hacer clic en la acción ficha para confirmar que el programa que se ejecutará es el ejecutable para el ransomware canguro. Se puede ver un ejemplo de esta tarea en la pantalla de abajo.

Nota: Si necesita ayuda con este proceso, no dude en preguntar en los foros o aquí. Antes de pedir ayuda, sin embargo, cree una captura de pantalla de las diferentes tareas para que podamos ayudarle a identificar la correcta.
Programador de tareas



Una vez que haya identificado la tarea adecuada, puede hacer clic derecho sobre él y eliminarlo.

El ransomware canguro Ahora se quita del equipo y se puede reiniciar de nuevo el ordenador para que Windows se inicia normalmente. Una vez que se ha identificado de nuevo en Windows, se debe realizar un análisis de seguridad con su antivirus preferido o un producto anti-malware.


Canguro archivos cifrados no se pueden descifrar de forma gratuita.

Por desgracia, los archivos cifrados por el ransomware canguro no se pueden descifrar de forma gratuita.

La única manera de recuperar los archivos cifrados es a través de una copia de seguridad, o si usted es una suerte increíble, a través de instantáneas de volumen. A pesar de canguro no intente quitar las instantáneas de volumen, en casos raros, las infecciones ransomware no lo hacen por cualquier razón. Debido a esto, si usted no tiene una copia de seguridad viable, siempre sugerir la gente trata como un último recurso para restaurar archivos cifrados desde instantáneas de volumen también.


Archivos asociados con el canguro ransomware:

C:\Program Files (x86)\Windows NT\explorer.exe

Las entradas del registro asociadas con el canguro ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.

You have to contact the email below along with your Personal Identification ID to restore the data of your system.

Your Personal Identification ID: E557162BUS

Email: [email protected]

You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

direcciones de correo electrónico asociadas con el canguro ransomware:

[email protected]