Auch bekannt als: Trojan-Ransom.Win32.Onion
Virentyp: Ransomware
„Onion“ ist eine kryptografische Ransomware, die die Daten des Benutzers verschlüsselt und einen Countdown anzeigt, um Opfer so zu verängstigen, dass sie für die Entschlüsselung Bitcoins bezahlen. Die Cyberkriminellen geben ihren Opfern maximal 72 Stunden Zeit, das Lösegeld zu bezahlen – ansonsten sind alle Dateien unwiederbringlich verloren. Kaspersky Lab nennt die Malware „Onion“, da sie das Anonymisierungsnetzwerk Tor (den sogenannten „Onion-Router“) nutzt, um ihre schädliche Absicht zu verbergen und um die Ermittlung der Verantwortlichen hinter der laufenden Malware-Kampagne zu erschweren.
Durch technische Verbesserungen hat sich die Malware zum potenziellen Nachfolger von Cryptolocker entwickelt – eine wirklich gefährliche Bedrohung und eine der raffiniertesten aktuellen Cryptomalware.
Um geheime Daten und Zahlungsinformationen zu übermitteln, kommuniziert Onion mit den Command-and-Control-Servern (C&C), die sich irgendwo im anonymen Netzwerk befinden. Indem die C&C-Server im Anonymisierungsnetzwerk Tor versteckt werden, wird die Suche nach den Cyberkriminellen erschwert. Darüber hinaus macht der Einsatz eines ungewöhnlichen Kryptografieschemas die Dateientschlüsselung unmöglich – selbst wenn der Datenverkehr zwischen Trojaner und Server abgefangen wird. Weitere Informationen zu diesem Verschlüsselungsschema finden Sie im entsprechenden Blog-Beitrag auf Securelist.com.
Die meisten Infektionsversuche wurden in der GUS verzeichnet, wobei vereinzelte Fälle auch in Deutschland, Bulgarien, Israel, den VAE und Libyen aufgetreten sind.
Trojan-Ransom.Win32.Onion wurde in folgenden Ländern erkannt:
Damit die Onion-Malware ein Gerät erreichen kann, muss es zunächst das Andromeda-Botnet (Backdoor.Win32.Androm) durchlaufen. Der Bit erhält dann den Befehl, eine andere Malware der Joleee-Familie auf das infizierte Gerät herunterzuladen und auszuführen. Letztere Malware lädt dann wiederum die Onion-Malware auf das Gerät herunter. Dies ist nur einer der ermittelten Vektoren zur Verbreitung der Malware.