Qu'est-ce que Kangaroo Ransomware

Kangaroo est une infection par rançongiciel publiée par les développeurs à l'origine d'anciens chiffreurs de fichiers, tels que Apocalypse, Fabiansomware et Esmeralda. Bien que ce chiffreur de fichiers circulait activement en 2021, certains utilisateurs peuvent encore se retrouver pénétrés par celui-ci ces jours-ci. Le but des logiciels malveillants de cette catégorie est de crypter des données potentiellement importantes et d'extorquer de l'argent aux victimes pour les décrypter. La fonctionnalité qui distingue Kangaroo des autres infections de rançongiciels courantes est qu'il configure les valeurs de registre pour afficher un message de rançon avant d'accéder à l'écran de connexion Windows. Immédiatement après la connexion au système, il affiche également un faux écran avec le même message de rançon mais cette fois avec un champ dédié pour insérer un mot de passe pour le déverrouiller. Voici le texte intégral qui y est écrit :

message de rançon avant l'écran de connexionmessage de rançon affiché sur l'écran de verrouillage et dans les fichiers texte
Attention!
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenience.
You have to contact the email below along with your Personal Identification ID to rest the data of your system.
Your Personal Identification ID: -
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instruction will be sent to you by email.
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: -
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Kangaroo rend impossible la suppression du faux écran en mettant fin aux processus de l'Explorateur et en bloquant l'accès au Gestionnaire des tâches (au cas où les utilisateurs tenteraient de forcer la fenêtre de la rançon). De cette façon, les victimes sont essentiellement bloquées et ne peuvent pas utiliser leur ordinateur tant qu'une rançon n'est pas payée. Malgré cela, il est possible de contourner le verrouillage de l'écran en saisissant Mode sans échec, ce qui est essentiel pour éliminer l'infection par la suite. Lors du chiffrement, Kangaroo attribue également le .crypted_file extension et crée des messages de rançon identiques sous forme de notes textuelles. Ces notes de texte sont créées en plus de chaque fichier crypté et sont nommées en fonction du nom du fichier post-cryptage (comme ici 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Kangaroo Ransomware (note de rançon 1)
Kangaroo Ransomware (note de rançon 2)

Les cybercriminels à l'origine de Kangaroo Ransomware exhortent les victimes à établir un contact avec eux par e-mail et à inclure "l'identifiant d'identification personnel" dans la lettre. Après cela, les victimes sont informées qu'elles recevront des instructions supplémentaires pour récupérer le mot de passe spécial et le logiciel de décryptage. En règle générale, les rançongiciels sont conçus pour capitaliser financièrement sur les victimes. Ainsi, il est probable que les acteurs de la menace exigeront un paiement compris entre 100 $ et 1,000 XNUMX $.

Malheureusement, même 2 ans après le début de sa campagne malveillante, Kangaroo n'a pas encore été confirmé comme étant déchiffrable avec un logiciel tiers gratuit. Cela signifie que les développeurs initiaux de rançongiciels seront probablement les seuls personnages capables de déchiffrer l'accès aux données. Les victimes ne peuvent récupérer leurs données à partir d'une sauvegarde que si elles sont disponibles et contiennent les fichiers nécessaires. Dans de très rares cas, il peut également être possible de récupérer des clichés instantanés de Windows si le virus n'a pas réussi à les effacer au moment de l'infection pour une raison quelconque. Ainsi, vous pouvez également envisager d'essayer cette option de récupération si aucune autre option n'est disponible. L'achat de logiciels auprès de cybercriminels est également une option, cependant, veuillez noter que les développeurs de ransomwares sont connus pour tromper parfois leurs victimes et ne pas envoyer d'outils de décryptage même après le paiement.

Enfin, si vous pensez pouvoir perdre les données cryptées sans regret, vous pouvez également ignorer le décryptage/restauration et simplement supprimer le virus. Vous devez également supprimer le virus si vous n'allez pas collaborer avec des extorqueurs - c'est crucial pour ne pas le laisser crypter d'autres fichiers au moment de la récupération manuelle ou se propager à d'autres systèmes travaillant sur le même réseau. Il est également important de vous assurer que votre système est exempt de virus après avoir décrypté les fichiers avec des cybercriminels si vous le décidez. Suivez notre guide ci-dessous pour le faire et obtenir une protection contre de telles menaces à l'avenir. Vous verrez également des logiciels de décryptage/récupération tiers réputés présentés dans notre guide, cependant, cette recommandation est générale et ne garantit pas que les outils décrypteront avec succès les fichiers bloqués par Kangaroo Ransomware. Vous pouvez les essayer s'il ne reste aucune autre option.

Comment Kangaroo Ransomware a infecté votre ordinateur

Kangaroo Ransomware est connu pour pénétrer les systèmes en piratant manuellement la configuration RDP (Remote Desktop Protocol). En d'autres termes, cela signifie qu'un développeur de logiciels malveillants pourrait obtenir un accès non autorisé à votre ordinateur et déployer manuellement l'infection par ransomware. Une fois cela fait, une fenêtre contextuelle apparaît à l'écran avec le code d'identification de la victime et la clé de cryptage affichés dessus. Par la suite, les cybercriminels doivent cliquer sur le bouton "Copier et continuer", qui copiera ces données dans le tampon du presse-papiers et lancera le cryptage des données avec les symptômes susmentionnés. En règle générale, les attaques RDP se produisent lorsque les utilisateurs se connectent à un serveur infecté, ce qui peut aider les pirates à détourner la connexion de l'utilisateur et à injecter des logiciels malveillants dans le système.

Outre cette méthode, il convient également de mentionner d'autres techniques d'infiltration qui sont souvent utilisées par d'autres infections de rançongiciels. Il s'agit notamment des courriers électroniques de phishing, des installateurs de logiciels infectés (piratés ou piratés), des kits d'exploitation, des chevaux de Troie, des fausses mises à jour/outils de craquage de licence, des publicités peu fiables, des portes dérobées, des enregistreurs de frappe et d'autres canaux douteux. Pour rester protégé contre les infections malveillantes, il est toujours important d'éviter d'interagir avec des sources de téléchargement douteuses, des pages de partage de torrents, des publicités suspectes, des pièces jointes/liens potentiellement malveillants et d'autres types de contenu à risque. Comptez sur le téléchargement de logiciels uniquement à partir de ressources officielles pour empêcher les installations furtives (furtives) de logiciels malveillants. Vous pouvez lire notre guide ci-dessous pour plus d'informations sur la protection contre les ransomwares et autres formes de malwares.

  1. Télécharger Rançongiciel Kangourou outil de suppression
  2. Obtener un outil de décryptage pour .crypted_file fichiers
  3. Récupérer des fichiers cryptés avec Stellar Data Recovery Professional
  4. Restaurer les fichiers cryptés avec Versions précédentes de Windows
  5. Restaurer les fichiers avec Shadow Explorer
  6. Comment se protéger des menaces telles que Rançongiciel Kangourou

Télécharger l'outil de suppression

Télécharger l'outil de suppression

Pour supprimer complètement Kangaroo Ransomware, nous vous recommandons d'utiliser SpyHunter 5 d'EnigmaSoft Limited. Il détecte et supprime tous les fichiers, dossiers et clés de registre de Kangaroo Ransomware. La version d'essai de SpyHunter 5 offre une analyse antivirus et une suppression 1 fois GRATUITEMENT.

Outil de suppression alternatif

Télécharger Norton Antivirus

Pour supprimer complètement Kangaroo Ransomware, nous vous recommandons d'utiliser Norton Antivirus de Symantec. Il détecte et supprime tous les fichiers, dossiers et clés de registre de Kangaroo Ransomware et empêche les futures infections par des virus similaires.

Fichiers Kangaroo Ransomware :


explorer.exe
filename.originalextension.crypted_file.Instructions_Data_Recovery.txt
{randomname}.exe

Clés de registre Kangaroo Ransomware :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"

Comment décrypter et restaurer les fichiers .crypted_file

Utilisez des décrypteurs automatisés

Télécharger Kaspersky RakhniDecryptor

décrypteur de rançongiciel kaspersky dharma

Utilisez l'outil suivant de Kaspersky appelé Rakhni Decryptor, qui peut décrypter les fichiers .crypted_file. Télécharger les ici:

Télécharger RakhniDecryptor

Il est inutile de payer la rançon car il n'y a aucune garantie que vous recevrez la clé, mais vous exposerez vos identifiants bancaires à un risque.

Dr.Web Rescue Pack

Le célèbre fournisseur d'antivirus Dr. Web fournit un service de décryptage gratuit aux propriétaires de ses produits: Dr.Web Security Space ou Dr.Web Enterprise Security Suite. D'autres utilisateurs peuvent demander de l'aide pour le décryptage de .crypted_file fichiers en téléchargeant des échantillons vers Service de décryptage Dr. Web Ransomware. L'analyse des fichiers sera effectuée gratuitement et si les fichiers sont déchiffrables, il vous suffit d'acheter une licence de 2 ans de Dr.Web Security Space d'une valeur de 120$ ou moins. Sinon, vous n'avez pas à payer.

Si vous êtes infecté par Kangaroo Ransomware et supprimé de votre ordinateur, vous pouvez essayer de décrypter vos fichiers. Les fournisseurs d'antivirus et les particuliers créent des décrypteurs gratuits pour certains crypto-lockers. Pour tenter de les déchiffrer manuellement, vous pouvez procéder comme suit :

Utilisez Stellar Data Recovery Professional pour restaurer les fichiers .crypted_file

professionnel de la récupération de données stellaire

  1. Télécharger Stellar Data Recovery Professional.
  2. Cliquez Récupérer Données .
  3. Sélectionnez le type de fichiers que vous souhaitez restaurer et cliquez sur Suivant .
  4. Choisissez l'emplacement à partir duquel vous souhaitez restaurer les fichiers et cliquez sur Scanner .
  5. Prévisualisez les fichiers trouvés, choisissez ceux que vous allez restaurer et cliquez sur Récupérer.
Télécharger Stellar Data Recovery Professional

Utilisation de l'option Versions précédentes de Windows:

  1. Cliquez avec le bouton droit sur le fichier infecté et choisissez biens.
  2. Sélectionnez Versions précédentes languette.
  3. Choisissez une version particulière du fichier et cliquez sur Copier.
  4. Pour restaurer le fichier sélectionné et remplacer l'existant, cliquez sur le Restaurer .
  5. Au cas où il n'y aurait aucun élément dans la liste, choisissez une méthode alternative.

Utilisation de Shadow Explorer:

  1. Télécharger Shadow Explorer .
  2. Exécutez-le et vous verrez la liste d'écran de tous les lecteurs et les dates auxquelles le cliché instantané a été créé.
  3. Sélectionnez le lecteur et la date à partir desquels vous souhaitez effectuer la restauration.
  4. Cliquez avec le bouton droit sur un nom de dossier et sélectionnez Exportations.
  5. S'il n'y a pas d'autres dates dans la liste, choisissez une autre méthode.

Si vous utilisez Dropbox:

  1. Connectez-vous au site Web DropBox et accédez au dossier contenant les fichiers cryptés.
  2. Cliquez avec le bouton droit sur le fichier crypté et sélectionnez Versions précédentes.
  3. Sélectionnez la version du fichier que vous souhaitez restaurer et cliquez sur le Restaurer .

Comment protéger l'ordinateur contre les virus, comme Kangaroo Ransomware, à l'avenir

1. Obtenez un logiciel anti-ransomware spécial

Utiliser ZoneAlarm Anti-Ransomware

Tableau de bord anti-ransomware ZoneAlarm
Alerte anti-ransomware ZoneAlarm
ZoneAlarm Anti-Ransomware bloqué

Célèbre marque d'antivirus ZoneAlarm par Check Point a publié un outil complet, qui vous aidera avec une protection active contre les ransomwares, en tant que bouclier supplémentaire à votre protection actuelle. L'outil offre une protection Zero-Day contre les ransomwares et vous permet de récupérer des fichiers. ZoneAlarm Anti-Ransomware est compatible avec tous les autres antivirus, pare-feu et logiciels de sécurité, à l'exception ZoneAlarm Extrême (déjà livré avec ZoneAlarm Anti-Ransomware) ou Check Point Endpoint des produits. Les fonctionnalités clés de cette application sont : la récupération automatique des fichiers, la protection contre l'écrasement qui récupère instantanément et automatiquement tous les fichiers cryptés, la protection des fichiers qui détecte et bloque même les crypteurs inconnus.

Télécharger ZoneAlarm Anti-Ransomware

2. Sauvegardez vos fichiers

sauvegarde idrive

Comme moyen supplémentaire de sauvegarder vos fichiers, nous recommandons la sauvegarde en ligne. Le stockage local, tel que les disques durs, les SSD, les lecteurs flash ou le stockage réseau distant peut être instantanément infecté par le virus une fois branché ou connecté. Kangaroo Ransomware utilise certaines techniques pour exploiter cela. L'un des meilleurs services et programmes pour une sauvegarde en ligne automatique facile est iDrive. Il a les conditions les plus rentables et une interface simple. Vous pouvez en savoir plus sur sauvegarde et stockage dans le cloud iDrive ici.

3. N'ouvrez pas les courriers indésirables et protégez votre boîte aux lettres

lave-courrier pro

Les pièces jointes malveillantes aux e-mails de spam ou de phishing sont la méthode la plus populaire de distribution de ransomware. Utiliser des filtres anti-spam et créer des règles anti-spam est une bonne pratique. MailWasher Pro est l'un des leaders mondiaux de la protection anti-spam. Il fonctionne avec diverses applications de bureau et offre un très haut niveau de protection anti-spam.

Télécharger MailWasher Pro
Article précédentComment supprimer Odestech.com
Article suivantComment supprimer Iotr Ransomware et décrypter .iotr fichiers
James Kramer
James Kramer
https://www.bugsfighter.com
Bonjour, je m'appelle James. Mon site Web Bugsfighter.com, point culminant d'une décennie de voyage dans les domaines du dépannage informatique, des tests de logiciels et du développement. Ma mission ici est de vous proposer des guides complets mais conviviaux sur un éventail de sujets dans ce créneau. Si vous rencontrez des difficultés avec le logiciel ou les méthodologies que j'approuve, sachez que je suis facilement accessible pour obtenir de l'aide. Pour toute demande de renseignements ou communication complémentaire, n'hésitez pas à nous contacter via la page «Contacts». Votre voyage vers une informatique transparente commence ici
Facebook Twitter Youtube