Onion – nowa generacja szkodliwych programów wyłudzających okup

Szyfrujące oprogramowanie wyłudzające okup (tzw. ransomware) przeszło na kolejny poziom zaawansowania. Eksperci z Kaspersky Lab wykryli nowy szkodliwy program o nazwie „Onion”, który wykorzystuje anonimową sieć Tor do ukrywania swojej niebezpiecznej natury i utrudniania zidentyfikowania twórców trwającej operacji wyłudzania pieniędzy od użytkowników.

Onion jest sukcesorem innych niebezpiecznych aplikacji tego typu, takich jak Cryptolocker, CryptoDefence/CryptoWall, ACCDFISA czy GpCode. Szkodnik stosuje mechanizm odliczana, by jeszcze bardziej przestraszyć użytkowników – na jednym z komunikatów wyświetlanych na ekranie zainfekowanego komputera widnieje informacja, że zaszyfrowane dane zostaną bezpowrotnie zniszczone po upłynięciu 72 godzin, jeżeli użytkownik nie zapłaci cyberprzestępcom za odszyfrowanie.

Onion jest kontrolowany przez cyberprzestępców przy użyciu serwerów zlokalizowanych w anonimowej sieci Tor. Badacze z Kaspersky Lab zetknęli się już z podobnym podejściem, jednak dotychczas było ono stosowane w przypadku zagrożeń bankowych, takich jak 64-bitowa odmiana ZeuSa.

Trzy warstwy infekcji

By Onion mógł dotrzeć do komputera ofiary, cyberprzestępcy na początku wykorzystują szkodliwy program dystrybuowany za pośrednictwem botnetu Andromeda (Backdoor.Win32.Androm). Szkodnik ten otrzymuje polecenie pobrania i uruchomienia kolejnej niebezpiecznej aplikacji należącej do rodziny Joleee. Na koniec pobierany jest sam Onion. Omawiana metoda infekcji może się jednak różnić w zależności od wersji zagrożenia – eksperci z Kaspersky Lab zaobserwowali dużą elastyczność w budowie szkodnika.

Geografia infekcji

Najwięcej infekcji szkodliwym programem Onion zaobserwowano na terenie Wspólnoty Niepodległych Państw, jednak pojedyncze ataki pojawiły się także w Niemczech, Bułgarii, Izraelu, Libii oraz na obszarze Zjednoczonych Emiratów Arabskich.

Najnowsze próbki szkodnika przechwycone przez Kaspersky Lab zawierają możliwość wyświetlania interfejsu w języku rosyjskim. Ten fakt oraz liczne komentarze w kodzie mogą świadczyć o tym, że twórcy Oniona posługują się tym językiem.

Zalecenia bezpieczeństwa

  • Bez kopii zapasowych ani rusz.

Najlepszym sposobem uniknięcia utraty krytycznych danych w wyniku ataku oprogramowania ransomware jest regularne tworzenie kopii zapasowych. Kopie takie powinny być przechowywane na zewnętrznym nośniku lub w chmurze – nigdy na dysku systemowym lub takim, który jest na stałe podłączony do komputera.

  • Aktualne oprogramowanie antywirusowe

Rozwiązanie bezpieczeństwa powinno być stale włączone wraz ze wszystkimi modułami ochrony. Należy także dbać o regularne uaktualnianie baz wykorzystywanych przez program antywirusowy do ochrony przed zagrożeniami.

Użytkownicy produktów Kaspersky Lab są w pełni chronieni przed szkodliwym programem Onion. Produkty firmy wykrywają to zagrożenie jako Trojan-Ransom.Win32.Onion.

źróło: Kaspersky Lab



Komentarze

Gregorti ndz., 27-07-2014 - 10:57

Żadni użytkownicy nie są w pełni chronieni, żadnym programem AV, po co pisać że ci którzy maja KIS są chronieni? bo codziennie jest inna modyfikacja, dzisiaj Onion, jutro Arcur, pojutrze Metero. Liczy się zdrowy umysł..nic po za tym...

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej