Onion - nowy typ ransomware, który wykorzystuje sieć Tor

31-07-2014, 14:47

Przed nową generacją szkodliwych programów szyfrujących dane użytkowników w celu wymuszenia od nich okupu za przywrócenie normalnego funkcjonowania komputera ostrzegają eksperci z Kaspersky Lab.

Onion jest sukcesorem innych niebezpiecznych aplikacji tego typu, takich jak opisywany w Dzienniku Internautów Cryptolocker czy GpCode. Szkodnik stosuje mechanizm odliczana, aby jeszcze bardziej przestraszyć użytkowników. Jeden z komunikatów wyświetlanych na ekranie zainfekowanego komputera informuje, że zaszyfrowane dane zostaną bezpowrotnie zniszczone po upływie 72 godzin, jeżeli użytkownik nie zapłaci za ich odszyfrowanie.

Jeden z komunikatów wyświetlanych przez Onion na zainfekowanym komputerze

Onion jest kontrolowany przez cyberprzestępców przy użyciu serwerów zlokalizowanych w anonimowej sieci Tor. Analitycy zagrożeń zetknęli się już z podobnym podejściem, jednak dotychczas było ono stosowane w przypadku trojanów bankowych, takich jak 64-bitowa odmiana ZeuSa.

- Ukrywanie w sieci Tor serwerów wykorzystywanych do kontrolowania szkodliwego programu znacznie utrudnia identyfikację cyberprzestępców, a zastosowanie przez nich niekonwencjonalnego mechanizmu szyfrowania sprawia, że zablokowanych plików nie da się odzyskać, nawet po przechwyceniu danych przesyłanych między trojanem a jego serwerem sterującym - tłumaczy Fedor Sinitsyn, starszy analityk szkodliwych programów w Kaspersky Lab.

Jeden z komunikatów wyświetlanych przez Onion na zainfekowanym komputerze

Trzy warstwy infekcji

By Onion mógł dotrzeć do komputera ofiary, cyberprzestępcy na początku wykorzystują szkodliwy program dystrybuowany za pośrednictwem botnetu Andromeda (Backdoor.Win32.Androm). Szkodnik ten otrzymuje polecenie pobrania i uruchomienia kolejnej niebezpiecznej aplikacji należącej do rodziny Joleee. Na koniec pobierany jest sam Onion. Omawiana metoda infekcji może się jednak różnić w zależności od wersji zagrożenia - eksperci z Kaspersky Lab zaobserwowali dużą elastyczność w budowie szkodnika.

Geografia infekcji

Najwięcej infekcji szkodliwym programem Onion zaobserwowano na terenie Wspólnoty Niepodległych Państw, jednak pojedyncze ataki pojawiły się także w Niemczech, Bułgarii, Izraelu, Libii oraz na obszarze Zjednoczonych Emiratów Arabskich.

Najnowsze próbki szkodnika przechwycone przez Kaspersky Lab zawierają możliwość wyświetlania interfejsu w języku rosyjskim. Ten fakt oraz liczne komentarze w kodzie mogą świadczyć o tym, że twórcy Oniona posługują się tym językiem.

Jak się zabezpieczyć?

Najlepszym sposobem uniknięcia utraty krytycznych danych w wyniku ataku ransomware jest regularne tworzenie kopii zapasowych. Kopie takie powinny być przechowywane na zewnętrznym nośniku lub w chmurze - nigdy na dysku systemowym lub takim, który jest na stałe podłączony do komputera.

Należy także dbać o regularne uaktualnianie baz wykorzystywanych przez program antywirusowy do ochrony przed zagrożeniami. Rozwiązanie bezpieczeństwa powinno być stale włączone wraz ze wszystkimi modułami ochrony

Czytaj także: Nowy Simplocker żąda od użytkowników Androida 300 dolarów


Źródło: Kaspersky Lab
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Czerwiec 2021»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
282930