Che cos'è Kangaroo ransomware

Kangaroo è un'infezione ransomware rilasciata dagli sviluppatori dietro precedenti crittografi di file, come Apocalypse, Fabiansomware ed Esmeralda. Sebbene questo crittografatore di file circolasse attivamente nel 2021, alcuni utenti potrebbero ancora finire per essere penetrati da esso in questi giorni. Lo scopo del malware all'interno di questa categoria è crittografare dati potenzialmente importanti ed estorcere denaro per la decrittazione alle vittime. La caratteristica che fa risaltare Kangaroo tra le altre comuni infezioni da ransomware è che configura i valori del registro per visualizzare un messaggio di riscatto prima di accedere alla schermata di accesso di Windows. Subito dopo aver effettuato l'accesso al sistema, mostra anche una finta schermata con lo stesso messaggio di riscatto ma questa volta con un campo dedicato per l'inserimento di una password per sbloccarlo. Ecco il testo completo scritto in esso:

messaggio di riscatto prima della schermata di accessomessaggio di riscatto mostrato nella schermata di blocco e nei file di testo
Attention!
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenience.
You have to contact the email below along with your Personal Identification ID to rest the data of your system.
Your Personal Identification ID: -
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instruction will be sent to you by email.
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: -
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Kangaroo rende impossibile rimuovere lo schermo falso terminando i processi di Explorer e bloccando l'accesso a Task Manager (nel caso in cui gli utenti tentino di forzare la finestra di riscatto). In questo modo, le vittime rimangono sostanzialmente bloccate e non possono utilizzare i propri computer fino a quando non viene pagato un riscatto. Nonostante ciò, è possibile aggirare il blocco dello schermo entrando Modalità provvisoria, che è essenziale per rimuovere l'infezione in seguito. Durante la crittografia, Kangaroo assegna anche il file .crypted_file estensione e crea messaggi di riscatto identici sotto forma di note di testo. Tali note di testo vengono create in aggiunta a ciascun file crittografato e sono denominate in base al nome del file post-crittografia (come qui 1.pdf.crypted_file.Instructions_Data_Recovery.txt).

Kangaroo Ransomware (nota di riscatto 1)
Kangaroo Ransomware (nota di riscatto 2)

I criminali informatici dietro Kangaroo Ransomware esortano le vittime a stabilire un contatto con loro tramite e-mail e includere l'"ID di identificazione personale" all'interno della lettera. Successivamente, si dice che le vittime riceveranno ulteriori istruzioni per recuperare la password speciale e il software di decrittazione. Di norma, il ransomware è progettato per capitalizzare finanziariamente le vittime. Pertanto, è probabile che gli attori delle minacce richiedano un pagamento compreso tra $ 100 e $ 1,000.

Sfortunatamente, anche 2 anni dopo che Kangaroo ha iniziato la sua campagna dannosa, non è stato ancora confermato che sia decifrabile con software gratuito di terze parti. Ciò significa che è probabile che gli sviluppatori iniziali di ransomware siano le uniche figure in grado di decifrare l'accesso ai dati. Le vittime possono recuperare i propri dati dal backup solo se disponibile e contenente i file necessari. In casi molto rari, potrebbe anche essere possibile eseguire il ripristino dalle copie shadow di Windows se il virus non è riuscito a cancellarle al momento dell'infezione per qualche motivo. Pertanto, puoi considerare di provare anche questa opzione di ripristino se non sono disponibili altre opzioni. Anche l'acquisto di software dai criminali informatici è un'opzione, tuttavia, tieni presente che è noto che gli sviluppatori di ransomware a volte ingannano le loro vittime e non inviano alcuno strumento di decrittazione anche dopo il pagamento.

Infine, se pensi di poter perdere i dati crittografati senza rimpianti, puoi anche ignorare la decrittazione/ripristino ed eliminare semplicemente il virus. Dovresti anche eliminare il virus se non hai intenzione di collaborare con estorsori: questo è fondamentale per non consentire che crittografi altri file al momento del ripristino manuale o si diffonda ad altri sistemi che lavorano nella stessa rete. È anche importante assicurarsi che il sistema sia privo di virus dopo aver decrittografato i file con i criminali informatici, se si decide di farlo. Segui la nostra guida qui sotto per farlo e ottenere protezione contro tali minacce in futuro. Vedrai anche alcuni affidabili software di decrittazione / ripristino di terze parti presentati nella nostra guida, tuttavia, questa raccomandazione è generale e non garantisce che gli strumenti decodificheranno correttamente i file bloccati da Kangaroo Ransomware. Puoi provarli se non è rimasta altra opzione.

Come Kangaroo Ransomware ha infettato il tuo computer

Kangaroo Ransomware è noto per penetrare nei sistemi hackerando manualmente la configurazione RDP (Remote Desktop Protocol). In altre parole, ciò significa che uno sviluppatore di malware potrebbe ottenere l'accesso non autorizzato al tuo computer e distribuire manualmente l'infezione ransomware. Al termine, sullo schermo viene visualizzata una finestra pop-up con il codice identificativo della vittima e la chiave di crittografia visualizzati su di essa. Successivamente, i criminali informatici devono fare clic sul pulsante "Copia e continua", che copierà questi dati nel buffer degli appunti e avvierà la crittografia dei dati con i suddetti sintomi. Di norma, gli attacchi RDP si verificano quando gli utenti si connettono a un server infetto, il che può aiutare gli attori delle minacce a dirottare la connessione dell'utente e iniettare malware nel sistema.

Oltre a questo metodo, vale la pena menzionare anche altre tecniche di infiltrazione che vengono spesso utilizzate da altre infezioni da ransomware. Tali includono lettere di posta elettronica di phishing, programmi di installazione di software infetti (piratati o crackati), kit di exploit, trojan, aggiornamenti falsi/strumenti di cracking delle licenze, annunci inaffidabili, backdoor, keylogger e altri canali dubbi. Per rimanere protetti da infezioni dannose, è sempre importante evitare di interagire con fonti di download dubbie, pagine di condivisione torrent, annunci sospetti, allegati/collegamenti potenzialmente dannosi e altri tipi di contenuti rischiosi. Affidati al download di software solo da risorse ufficiali per impedire installazioni drive-by (invisibili) di malware. Puoi leggere la nostra guida di seguito per ulteriori informazioni sulla protezione da ransomware e altre forme di malware.

  1. Scaricare Canguro ransomware strumento di rimozione
  2. Ottenere uno strumento di decrittazione per .crypted_file file
  3. Recuperare i file crittografati con Stellar Data Recovery Professional
  4. Ripristinare i file crittografati con Versioni precedenti di Windows
  5. Ripristinare i file con Shadow Explorer
  6. Come proteggersi da minacce come Canguro ransomware

Scaricare strumento di rimozione

Scaricare strumento di rimozione

Per rimuovere completamente Kangaroo Ransomware, ti consigliamo di utilizzare SpyHunter 5 di EnigmaSoft Limited. Rileva e rimuove tutti i file, le cartelle e le chiavi di registro di Kangaroo Ransomware. La versione di prova di SpyHunter 5 offre la scansione antivirus e la rimozione una tantum GRATIS.

Strumento di rimozione alternativo

Scaricare Norton Antivirus

Per rimuovere completamente Kangaroo Ransomware, ti consigliamo di utilizzare Norton Antivirus di Symantec. Rileva e rimuove tutti i file, le cartelle e le chiavi di registro di Kangaroo Ransomware e previene future infezioni da virus simili.

File canguro ransomware:


explorer.exe
filename.originalextension.crypted_file.Instructions_Data_Recovery.txt
{randomname}.exe

Chiavi di registro di Kangaroo Ransomware:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"

Come decrittografare e ripristinare i file .crypted_file

Usa decryptor automatici

Scaricare Kaspersky RakhniDecryptor

decryptor ransomware kaspersky dharma

Usa il seguente strumento di Kaspersky chiamato Rakhni Decryptor, in grado di decrittografare i file .crypted_file. Scaricalo qui:

Scaricare RakhniDecryptor

Non vi è alcuno scopo per pagare il riscatto perché non vi è alcuna garanzia che riceverete la chiave, ma mettete a rischio le vostre credenziali bancarie.

Dr.Web Rescue Pack

Il famoso fornitore di antivirus Dr. Web fornisce un servizio di decrittazione gratuito per i proprietari dei suoi prodotti: Dr.Web Security Space o Dr.Web Enterprise Security Suite. Altri utenti possono chiedere aiuto per la decrittazione di file .crypted_file file caricando campioni in Servizio di decrittografia di Dr. Web Ransomware. L'analisi dei file verrà eseguita gratuitamente e se i file sono decifrabili, tutto ciò che devi fare è acquistare una licenza di 2 anni di Dr.Web Security Space del valore di $120 o meno. Altrimenti non devi pagare.

Se sei stato infettato da Kangaroo Ransomware e rimosso dal tuo computer, puoi provare a decrittografare i tuoi file. I fornitori di antivirus e gli individui creano decryptor gratuiti per alcuni crypto-locker. Per tentare di decifrarli manualmente puoi fare quanto segue:

Usa Stellar Data Recovery Professional per ripristinare i file .crypted_file

professionista del recupero dati stellare

  1. Scaricare Stellar Data Recovery Professional.
  2. Clicchi Recuperare dati pulsante.
  3. Seleziona il tipo di file che desideri ripristinare e fai clic Avanti pulsante.
  4. Scegli la posizione da cui desideri ripristinare i file e fai clic Scannerizzare pulsante.
  5. Visualizza l'anteprima dei file trovati, scegli quelli che ripristinerai e fai clic Recuperare.
Scaricare Stellar Data Recovery Professional

Utilizzo dell'opzione Versioni precedenti di Windows:

  1. Fare clic con il tasto destro sul file infetto e scegliere Properties.
  2. Seleziona Versioni precedenti scheda.
  3. Scegli una versione particolare del file e fai clic Copia.
  4. Per ripristinare il file selezionato e sostituire quello esistente, fare clic su Ripristinare pulsante.
  5. Nel caso in cui non ci siano elementi nell'elenco, scegliere un metodo alternativo.

Utilizzando di Shadow Explorer:

  1. Scaricare Shadow Explorer .
  2. Eseguilo e vedrai l'elenco delle schermate di tutte le unità e le date in cui è stata creata la copia shadow.
  3. Seleziona l'unità e la data da cui desideri eseguire il ripristino.
  4. Fare clic con il tasto destro sul nome di una cartella e selezionare Esportare.
  5. Nel caso in cui non ci siano altre date nell'elenco, scegli un metodo alternativo.

Se utilizzi Dropbox:

  1. Accedi al sito Web di DropBox e vai alla cartella che contiene i file crittografati.
  2. Fare clic con il tasto destro sul file crittografato e selezionare Versioni precedenti.
  3. Seleziona la versione del file che desideri ripristinare e fai clic su Ripristinare pulsante.

Come proteggere il computer dai virus, come Kangaroo Ransomware, in futuro

1. Ottieni uno speciale software anti-ransomware

Usa ZoneAlarm Anti-Ransomware

Pannello di controllo anti-ransomware ZoneAlarm
Avviso anti-ransomware ZoneAlarm
ZoneAlarm Anti-ransomware bloccato

Famoso marchio antivirus ZoneAlarm by Check Point ha rilasciato uno strumento completo, che ti aiuterà con la protezione anti-ransomware attiva, come scudo aggiuntivo alla tua protezione attuale. Lo strumento fornisce protezione Zero-Day contro il ransomware e consente di recuperare i file. ZoneAlarm Anti-Ransomware è compatibile con tutti gli altri antivirus, firewall e software di sicurezza tranne ZoneAlarm Extreme (già fornito con ZoneAlarm Anti-Ransomware) o Check Point Endpoint prodotti. Le caratteristiche killer di questa applicazione sono: ripristino automatico dei file, protezione da sovrascrittura che ripristina istantaneamente e automaticamente tutti i file crittografati, protezione dei file che rileva e blocca anche i crittografi sconosciuti.

Scaricare ZoneAlarm Anti-Ransomware

2. Eseguire il backup dei file

backup idrive

Come ulteriore modo per salvare i tuoi file, ti consigliamo il backup online. L'archiviazione locale, come dischi rigidi, SSD, unità flash o archiviazione di rete remota può essere immediatamente infettata dal virus una volta collegata o connessa. Kangaroo Ransomware utilizza alcune tecniche per sfruttarlo. Uno dei migliori servizi e programmi per un facile backup online automatico è iDrive. Ha i termini più redditizi e un'interfaccia semplice. Puoi leggere di più su backup e archiviazione su cloud iDrive qui.

3. Non aprire le e-mail di spam e proteggere la tua casella di posta

lavaposta professionale

Gli allegati dannosi alle e-mail di spam o phishing sono il metodo più diffuso di distribuzione del ransomware. Utilizzare filtri antispam e creare regole antispam è una buona pratica. Uno dei leader mondiali nella protezione anti-spam è MailWasher Pro. Funziona con varie applicazioni desktop e fornisce un livello molto elevato di protezione anti-spam.

Scaricare MailWasher Pro
Articolo precedenteCome rimuovere Odestech.com
Articolo prossimoCome rimuovere Iotr Ransomware e decifrare .iotr file
James Kramer
James Kramer
https://www.bugsfighter.com
Ciao, sono James. Il mio sito web Bugsfighter.com, il culmine di un viaggio decennale nel campo della risoluzione dei problemi dei computer, del test del software e dello sviluppo. La mia missione qui è offrirti guide complete ma di facile utilizzo su una vasta gamma di argomenti in questa nicchia. Se dovessi riscontrare problemi con il software o le metodologie che approvo, sappi che sono prontamente disponibile per assistenza. Per qualsiasi richiesta o ulteriore comunicazione non esitate a contattarci attraverso la pagina "Contatti". Il tuo viaggio verso il seamless computing inizia qui
Facebook Twitter Youtube