we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

30 nov, 2016

Ransomware Kangaroo bloqueia Windows para usuário e criptografa arquivos

Redação iMasters

Redação iMasters
Publicidade

Um novo tipo de ransomware está bloqueado usuários de seus computadores, tornando-os inutilizáveis para convencer as vítimas a pagarem para ter o acesso de volta.

Em um relatório da Bleeping Computer, o ransomware Kangaroo se destaca das variantes comuns de cripto-malware, utilizando um aviso legal falso, que é exibido logo antes de um usuário logar em seu computador. Para piorar as coisas, o malware impede que a vítima use o gerenciador de tarefas, além de desabilitar o Explorer.exe, que é responsável por exibir a interface de usuário do Windows.

O ransomware não é transmitido através de métodos usuais como arquivos maliciosos baixados ou sites comprometidos. Em vez disso, um hacker precisa entrar manualmente no computador de uma vítima usando a área de trabalho remota. Depois de terem executado o ransomware Kangaroo, uma janela será mostrada, exibindo o ID exclusivo da vítima e a chave de criptografia.

[awprm urls=https://imasters.com.br/noticia/novo-ransomware-usam-falsa-janela-do-windows-para-sequestrar-dados/,https://imasters.com.br/noticia/novo-ransomware-hucky-atua-como-se-fosse-o-locky-para-enganar-os-sistemas-de-seguranca/]

Depois disso, o ransomware começará a criptografar arquivos e anexará a extensão .crypted_file ao nome de um arquivo criptografado. Em seguida, ele exibirá uma tela de bloqueio, informando que há um problema crítico com o computador e que os dados da vítima foram criptografados. Ele também exibe instruções sobre como eles podem pagar os criminosos.

Ele não para aí – como mencionado anteriormente, ele exibirá um lembrete semelhante sempre que a vítima inicializar seu computador, e desativar certos recursos para convencê-la a entregar seu dinheiro.

Infelizmente, não existe nenhum método conhecido para descriptografar os arquivos. No entanto, a Bleeping Computer encontrou uma maneira de desativar a tela de bloqueio no boot. As vítimas podem inicializar no modo de segurança e desativar o item de inicialização que está depurando o malware. Você pode ler mais sobre como fazer isso aqui.

O site Neowin destaca que, embora seguir esse método ajude o usuário afetado a inicializar o sistema completamente, ele não auxilia com a descriptografia dos arquivos afetados.

Redação iMasters
Saiba mais

Redação iMasters

Matérias especiais e reportagens conduzidas internamente pela Redação iMasters. Acompanhe no Twitter @imasters