Kangaroo Ransomware verschlüsselt und sperrt aus

Zum Wochenabschluss noch ein Shortie: Es gibt mal wieder eine neue Ransomware mit dem Namen Kangaroo, Die verschlüsselt nicht nur die Dokumentdateien des Benutzers, sondern sperrt diesen auch aus Windows aus.

Die Ransomware stammt von einem rührigen Entwickler, der auch für weitere Malware wie Apocalypse Ransomware, Fabiansomware oder Esmeralda verantwortlich scheint, wie Bleeping Computer hier schreibt. Die Ransomeware ist aus verschiedenen Gründen recht interessant.

Einmal macht sich der Entwickler bei der Verbreitung richtig Mühe. Statt auf Mai-Anhänge und Exploit-Kits zu setzen, wird die Malware wohl händisch über Remote Desktop-Verbindungen unter Windows installiert. Dabei wird auch ein individueller Schlüssel zum Verschlüsseln der Dokumentdateien verwendet, so dass eine Entschlüsselung nur durch den Entwickler der Ransomware möglich erscheint.

Ist der Computer von der Schadsoftware befallen, verschlüsselt diese zuerst alle Benutzerdokumente des Nutzers. Die Dateien werden mit der Dateinamenerweiterung .crypted_file versehen. Gleichzeitig modifiziert die Malware den Registrierungseintrag LegalNoticeText unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Dies bewirkt, dass dem Benutzer vor der Anmeldung eine Benachrichtigung eingeblendet wird, die auf den Befall hinweist.

Kangoroo Lockscreen
(Quelle: Bleeping Computer)

Erst wenn der Nutzer auf OK klickt, kann er sich an Windows anmelden. Die Ransomware terminiert dann aber den Explorer-Prozess und verhindert, dass der Task-Manager aufgerufen werden kann. Dadurch ist der Nutzer mehr oder weniger ausgesperrt. Die Schadsoftware zeigt im Anschluss eine Seite, auf der einige Infos samt einem Hinweis zur Kontaktaufnahme zu finden ist.

Sperr-Screen
(Quelle: Bleeping Computer)

Die Sperre wird erst aufgehoben, nachdem der Nutzer das Lösegeld bezahlt hat. Wer eine Sicherungskopie der Daten besitzt, kann die Windows-Sperre mit der Beschreibung, die bei Bleeping Computer zu finden ist, entfernen. Weitere Details finden sich im Artikel bei Bleeping Computer. (via)

Ähnliche Artikel:
Sicherheitsinfo–Pfingsten 2016
Betrüger (Scammer) setzen auf Ransomware
Decryptor für Crysis-Ransomware von ESET
Neues zu Ransomware: Locky-Variante und PrincessLocker

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert