Également appelé : Trojan-Ransom.Win32.Onion
Type de virus : ransomware
« Onion » est un crypto-ransomware qui chiffre les données des utilisateurs et utilise un mécanisme de compte à rebours pour obliger les victimes à verser une rançon en bitcoins en échange du déchiffrement de ces données. Les cybercriminels prétendent que si elles ne paient pas dans les 72 heures, tous les fichiers seront perdus. Kaspersky Lab a appelé ce programme malveillant « Onion » parce qu'il utilise le réseau anonyme TOR (The Onion Router) pour dissimuler son caractère malveillant et mieux protéger les auteurs de cette campagne permanente.
Les améliorations techniques apportées au programme malveillant en font un successeur potentiel de Cryptolocker, une menace véritablement dangereuse et l'un des chiffreurs les plus sophistiqués à ce jour.
Pour transférer des données confidentielles et des informations de paiement, Onion communique avec des serveurs de commande et de contrôle situés au sein du réseau anonyme, ce qui complique la recherche des cybercriminels. Par ailleurs, l’utilisation de modèles cryptographiques non conventionnels rend le déchiffrement des fichiers impossible, même si le trafic est intercepté entre le cheval de Troie et le serveur. Pour en savoir plus sur le schéma de chiffrement, veuillez consulter le blog correspondant accessible sur le site securelist.com
La majorité des tentatives d'infection ont été recensées au sein de la CEI alors que des cas individuels ont été détectés en Allemagne, en Bulgarie, en Israël, dans les Émirats arabes unis et en Libye.
Trojan-Ransom.Win32.Onion a été détecté dans les pays suivants :
Pour que le programme malveillant Onion atteigne un appareil, il passe d'abord par le botnet Andromeda (Backdoor.Win32.Androm). Le bot reçoit alors l'ordre de télécharger et d'exécuter un autre composant du programme malveillant appartenant à la famille des Joleee sur l'appareil infecté. Ce programme malveillant télécharge ensuite Onion sur l'appareil. Il s'agit d'une des méthodes possibles parmi d’autres observées lors de la diffusion du programme malveillant.