Авторы шифровальщика Apocalypse и его более поздних модификаций (Fabiansomware, Esmeralda) создали еще одного криптовымогателя — Kangaroo. Эта версия малвари отличается не только другим сообщением с требованием выкупа, но также пытается не дать пользователю войти в Windows.
Сообщение с требованием выкупа отображается перед экраном логина, что лишает пользователя возможности войти в систему. Кроме того, малварь вносит изменения в реестр: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText", что приводит к отображению дополнительного предупреждения. Также Kangaroo останавливает процесс Explorer и предотвращает запуск «Диспетчера задач». Хотя обойти такую блокировку можно при помощи сочетания клавиш Alt + F4 или загрузив ОС в безопасном режиме, многие неискушенные пользователи не сумеют преодолеть даже такой простой блок.
Исследователь Bleeping Computer, Лоренс Абрамс, пишет, что в отличие от других вымогателей Kangaroo распространяется не посредством эксплоит китов, скомпрометированных сайтов или спама. Создатели Kangaroo взламывают машины жертв вручную (!), при помощи Remote Desktop, и запускают шифровальщика в систему. Во время первого запуска шифровальщик отображает уникальный ID жертвы и ключ шифрования, которые операторы малвари должны скопировать. Затем вымогатель шифрует файлы пользователя, изменяя их расширение на .crypted_file. Довольно странно, но при этом шифровальщик также создает сообщение с требованием выкупа для каждого зашифрованного файла.
Расшифровать файлы, зашифрованные Kangaroo, пока не представляется возможным. Впрочем, некоторым пользователям может улыбнуться удача, дело в том, что шифровальщик не всегда корректно справляется с удалением теневых копий, в некоторых случаях они сохраняются и позволяют попытаться восстановить данные.
Сообщение с требованием выкупа отображается перед экраном логина, что лишает пользователя возможности войти в систему. Кроме того, малварь вносит изменения в реестр: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText", что приводит к отображению дополнительного предупреждения. Также Kangaroo останавливает процесс Explorer и предотвращает запуск «Диспетчера задач». Хотя обойти такую блокировку можно при помощи сочетания клавиш Alt + F4 или загрузив ОС в безопасном режиме, многие неискушенные пользователи не сумеют преодолеть даже такой простой блок.
Исследователь Bleeping Computer, Лоренс Абрамс, пишет, что в отличие от других вымогателей Kangaroo распространяется не посредством эксплоит китов, скомпрометированных сайтов или спама. Создатели Kangaroo взламывают машины жертв вручную (!), при помощи Remote Desktop, и запускают шифровальщика в систему. Во время первого запуска шифровальщик отображает уникальный ID жертвы и ключ шифрования, которые операторы малвари должны скопировать. Затем вымогатель шифрует файлы пользователя, изменяя их расширение на .crypted_file. Довольно странно, но при этом шифровальщик также создает сообщение с требованием выкупа для каждого зашифрованного файла.
Расшифровать файлы, зашифрованные Kangaroo, пока не представляется возможным. Впрочем, некоторым пользователям может улыбнуться удача, дело в том, что шифровальщик не всегда корректно справляется с удалением теневых копий, в некоторых случаях они сохраняются и позволяют попытаться восстановить данные.
Пт Май 12, 2017 9:09 pm автор Admin
» Шифровальщик CryptXXX 3.0 обезвредили!
Пт Дек 23, 2016 11:43 pm автор Admin
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
Вт Ноя 29, 2016 12:41 am автор Admin
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
Ср Ноя 02, 2016 3:05 am автор Admin
» 360 Total Security 8.8.0.1083 [Multi/Ru]
Пн Окт 24, 2016 10:06 pm автор Admin
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
Пт Окт 21, 2016 11:31 pm автор Admin
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
Пн Авг 15, 2016 12:54 am автор Admin
» Новый вариант трояна Kovter маскируется под обновления для Firefox
Пт Июл 08, 2016 4:14 am автор Admin
» Эксперт представил способ похищения данных через кулер компьютера
Пт Июн 24, 2016 5:24 am автор Admin