Kangaroo Ransomware

Kangaroo Ransomware

Die Kangaroo Ransomware ist ein direkter Nachfolger der Apocalypse Ransomware, die vor einiger Zeit sehr häufig anzutreffen war. Wie ihr Vorgänger, dringt die Kangaroo Ransomware heimlich in Computer ein und beginnt dann sofort entsprechend ihrer Programmierung zu agieren. Wenn Benutzer diese Infektion ausführen, stellt sie Kopien von sich selbst her und legt sie im System ab, um nicht leicht entdeckt und entfernt werden zu können. Dann öffnet sie ein Fenster mit der einmaligen ID, die einem Benutzer zugeordnet wird, dem Entschlüsselungsschlüssel und der Schaltfläche Kopieren und Fortfahren. Ein Klick auf diese Schaltfläche startet die Verschlüsselung der Dateien. Zahlreiche Ransomware-Infektionen verschlüsseln die Dateien von Benutzern, weil sie Geld von ihnen wollen, und die Kangaroo Ransomware stellt keine Ausnahme dazu dar, obwohl sie eine recht neue Bedrohung ist. Tatsächlich werden Benutzer dort keine Informationen über den Preis des Entschlüsselungstools finden. Wenn Sie sich das bildschirm-sperrende Fenster, das sie über dem Desktop anzeigt, und das Fenster mit dem himmelblauen Hintergrund, das an das Original-Windows-Betiebssystem-Fenster erinnert (es wird nach jedem System-Neustart geöffnet) genauer ansehen, wird sofort klar, dass die Kangaroo Ransomware versucht, Benutzer davon zu überzeugen, dass „Windows has encountered a critical problem“ („Windows auf ein kritisches Problem gestoßen ist“). Dort heißt es, dass die einzige Lösung des Problems darin besteht, das Freigabe-Passwort und die Kangoroo-Entschlüsselungssoftware zu bestellen; es werden jedoch keine Informationen über den Preis dieser Software angegeben. Statt dessen wird Benutzern gesagt, die persönliche ID an kangarooencryption@mail.ru zu senden. Sehr wahrscheinlich werden weitere Anweisungen an Sie geschickt, wenn Sie eine E-Mail an die Cyberkriminellen senden. Sie brauchen sich damit gar keine Mühe zu machen, wenn Sie ihnen kein Geld überweisen wollen. Statt dessen machen Sie sich an die Arbeit und entfernen Sie die Kangaroo Ransomware umgehend.

Die Kangaroo Ransomware verschlüsselt eine Reihe verschiedener Dateien, die sie auf dem Computer gespeichert vorfindet, sobald sie in das System hineingelangt. Sie verschont nur diejenigen Dateien, die sich im Windows-Ordner befinden, und diejenigen, die nicht eine der folgenden Erweiterungen besitzen: .dat, .bat, .bin, .encrypted, .ini, .tmp, .lnk, .com, .sys, .dll und .exe. Es ist überhaupt nicht schwer zu sagen, welche der Dateien verschlüsselt worden sind und welche nicht, weil die Kangaroo Ransomware eine neue Dateinamenerweiterung an alle Dateien anhängt, die sie sperrt. Leider besteht die einzige Methode, sie zu entschlüsseln, darin, den Cyberkriminellen Geld zu bezahlen, weil diese Ransomware-Infektion mithilfe der Anweisung cmd.exe /c vssadmin delete shadows /all /quiet die Schattenkopien der Dateien löscht. Obwohl ein Kauf der Kangaroo-Entschlüsselungssoftware und des Freigabe-Passworts Ihre einzige Chance sein könnte, Ihre Dateien freizubekommen, sollten Sie den Cyberkriminellen kein Geld überweisen, auch wenn Sie es sich leisten können, weil Sie sehr wahrscheinlich nichts erhalten werden. Statt dessen sollten Sie sich damit beeilen, diese Infektion zu löschen, um sicherzustellen, dass sie nicht erneut zuschlägt, und damit Sie den Computer normal verwenden können.

Wie die Forscher bei entfernenspyware.de herausgefunden haben, führt die Kangaroo Ransomware mehrere wichtige Änderungen im System durch, das sie infiltriert. Sobald sie ausgeführt wird, legt sie zuerst ihre Ausführungsdatei in %PROGRAMFILES%\Windows NT oder %PROGRAMFILES(x86)%\Windows NT ab. Danach erstellt sie Werte in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, um nach einem Systemstart weiterarbeiten zu können. Löschen Sie die Ransomware-Infektion vollständig, um die Änderungen, die sie durchgeführt hat, rückgängig zu machen.

Die Kangaroo Ransomware unterscheidet sich nicht von älteren Ransomware-Infektionen, und zwar nicht nur, weil sie versucht, Geld zu erhalten, und ein bildschirm-sperrendes Fenster anzeigt, sondern auch, weil sie immer ohne Erlaubnis in Computer eindringt. Es wurde festgestellt, dass diese Bedrohung in der Regel durch die Ausnutzung von Schwachstellen im RDP (Remote Desktop Protocol) verbreitet wird. Natürlich kann sie auch auf andere Weise verbreitet werden, zum Beispiel kann sie von einer Trojaner-Infektion auf das System abgeladen werden, wie dies auch bei anderen Ransomware-Infektionen der Fall ist. Es liegt nicht immer in der Macht der Benutzer, Bedrohungen daran zu hindern, in ihre Systeme einzudringen. Deshalb sagen Sicherheitsexperten, dass jeder Benutzer ein seriöses Antimalware-Tool auf dem System installiert haben sollte. Wenn Sie noch keines haben, sollten Sie schleunigst eines erwerben.

Es ist eine Herausforderung, die Kangaroo Ransomware vollständig aus dem System zu entfernen, weil diese Infektion Benutzern nicht erlaubt, auf den Desktop zuzugreifen. Was diese Benutzer zuerst tun sollten, ist, im Abgesicherten Modus mit Netzwerktreibern zu starten. Dann könnten sie die Ransomware-Infektion mithilfe der manuellen Schritt-für-Schritt-Anweisungen löschen oder das System mit einem automatischen Malware-Entferner, wie z. B. SpyHunter, entfernen. Natürlich werden Sie ihn zuerst erwerben müssen. Ein automatisches Tool wird Ihre personenbezogenen Daten leider auch nicht freigeben, aber es wird die Kangaroo Ransomware loswerden, damit Sie Ihren PC frei und ohne Angst, wieder Ihre Dateien zu verlieren, verwenden können.

Löschen der Kangaroo Ransomware

Starten Sie im Abgesicherten Modus mit Netzwerktreibern

Windows 10

  1. Klicken Sie im Log-in-Bildschirm auf die Schaltfläche Ein/Aus.
  2. Halten Sie die Shift-Taste gedrückt und klicken Sie auf Neu starten.
  3. Klicken Sie auf Problembehandlung.
  4. Klicken Sie auf Erweiterte Optionen.
  5. Klicken Sie auf Starteinstellungen.
  6. Klicken Sie auf Neu starten.
  7. Drücken Sie F5 auf Ihrer Tastatur.

Windows 8/8.1

  1. Drücken und halten Sie die Shift-Taste, wählen Sie Ein/Aus und klicken Sie dann auf Neu starten.
  2. Klicken Sie auf Problembehandlung.
  3. Klicken Sie auf Erweiterte Optionen.
  4. Klicken Sie auf Starteinstellungen.
  5. Klicken Sie auf Neu starten.
  6. Drücken Sie dieNummer 5 auf Ihrer Tastatur, um den Abgesicherten Modus mit Netzwerktreibern zu aktivieren.

Windows 7/Vista/XP

  1. Beginnen Sie, gleich nachdem Sie Ihren Computer neu gestartet haben, F8 auf Ihrer Tastatur zu drücken.
  2. Wählen Sie unter Verwendung der Pfeiltasten auf Ihrer Tastatur Abgesicherter Modus mit Netzwerktreibern aus dem Menü.
  3. Drücken Sie die Eingabetaste.

Löschen der Ransomware-Infektion

  1. Öffnen Sie den Windows-Explorer (Win-E).
  2. Überprüfen Sie %PROGRAMFILES%\Windows NT oder %PROGRAMFILES(x86)%\Windows (kopieren Sie das Verzeichnis in die Adresszeile hinein).
  3. Löschen Sie die Datei explorer.exe.
  4. Drücken Sie Win+R.
  5. Geben Sie regedit.exe ein und klicken Sie auf OK.
  6. Gehen Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  7. Finden Sie denWert Windows Explorer, der die Wertdaten C:\Programme (x86)\Windows NT\explorer.exe oder C:\Programme\Windows NT\explorer.exe hat.
  8. Rechtsklicken Sie darauf und wählen Sie Löschen.
  9. Öffnen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
  10. Finden Sie LegalNoticeText und entfernen Sie es (rechtsklicken Sie darauf und wählen Sie Löschen).
  11. Löschen Sie die Schaddatei, die Sie kürzlich geöffnet haben.
  12. Starten Sie Ihren Computer neu.

Antwort schreiben