![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenabschluss noch ein Shortie: Es gibt mal wieder eine neue Ransomware mit dem Namen Kangaroo, Die verschl\u00fcsselt nicht nur die Dokumentdateien des Benutzers, sondern sperrt diesen auch aus Windows aus.<\/p>\nZum Wochenabschluss noch ein Shortie: Es gibt mal wieder eine neue Ransomware mit dem Namen Kangaroo, Die verschl\u00fcsselt nicht nur die Dokumentdateien des Benutzers, sondern sperrt diesen auch aus Windows aus.<\/p>\n
<\/p>\n
Die Ransomware stammt von einem r\u00fchrigen Entwickler, der auch f\u00fcr weitere Malware wie Apocalypse Ransomware<\/a>, Fabiansomware<\/a> oder Esmeralda<\/a> verantwortlich scheint, wie Bleeping Computer hier<\/a> schreibt. Die Ransomeware ist aus verschiedenen Gr\u00fcnden recht interessant. <\/p>\n Einmal macht sich der Entwickler bei der Verbreitung richtig M\u00fche. Statt auf Mai-Anh\u00e4nge und Exploit-Kits zu setzen, wird die Malware wohl h\u00e4ndisch \u00fcber Remote Desktop-Verbindungen unter Windows installiert. Dabei wird auch ein individueller Schl\u00fcssel zum Verschl\u00fcsseln der Dokumentdateien verwendet, so dass eine Entschl\u00fcsselung nur durch den Entwickler der Ransomware m\u00f6glich erscheint. <\/p>\n Ist der Computer von der Schadsoftware befallen, verschl\u00fcsselt diese zuerst alle Benutzerdokumente des Nutzers. Die Dateien werden mit der Dateinamenerweiterung .crypted_file <\/em>versehen. Gleichzeitig modifiziert die Malware den Registrierungseintrag LegalNoticeText <\/em>unter:<\/p>\n HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon<\/em><\/p>\n Dies bewirkt, dass dem Benutzer vor der Anmeldung eine Benachrichtigung eingeblendet wird, die auf den Befall hinweist.<\/p>\n Erst wenn der Nutzer auf OK klickt, kann er sich an Windows anmelden. Die Ransomware terminiert dann aber den Explorer-Prozess und verhindert, dass der Task-Manager aufgerufen werden kann. Dadurch ist der Nutzer mehr oder weniger ausgesperrt. Die Schadsoftware zeigt im Anschluss eine Seite, auf der einige Infos samt einem Hinweis zur Kontaktaufnahme zu finden ist. <\/p>\n Die Sperre wird erst aufgehoben, nachdem der Nutzer das L\u00f6segeld bezahlt hat. Wer eine Sicherungskopie der Daten besitzt, kann die Windows-Sperre mit der Beschreibung, die bei Bleeping Computer zu finden ist, entfernen. Weitere Details finden sich im Artikel<\/a> bei Bleeping Computer. (via<\/a>)<\/p>\n \u00c4hnliche Artikel:<\/strong> Zum Wochenabschluss noch ein Shortie: Es gibt mal wieder eine neue Ransomware mit dem Namen Kangaroo, Die verschl\u00fcsselt nicht nur die Dokumentdateien des Benutzers, sondern sperrt diesen auch aus Windows aus.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[5717,4715,4328],"class_list":["post-184442","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-kangaroo","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184442"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184442\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Kangoroo](\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/k\/kangaroo\/legal-notice.png\" "\\"Kangoroo")
<\/a>
(Quelle: Bleeping Computer)<\/p>\n![\"Sperr-Screen\"](\"https:\/\/www.bleepstatic.com\/images\/news\/ransomware\/k\/kangaroo\/windows-lock-screen.png\" "\\"Sperr-Screen\\"")
<\/a>
(Quelle: Bleeping Computer)<\/p>\n
Sicherheitsinfo\u2013Pfingsten 2016<\/a>
Betr\u00fcger (Scammer) setzen auf Ransomware<\/a>
Decryptor f\u00fcr Crysis-Ransomware von ESET
Neues zu Ransomware: Locky-Variante und PrincessLocker<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"