ُسمى أيضًا: Trojan-Ransom.Win32.Onion
نوع الفيروس: برنامج فدية
إنّ "Onion" عبارة عن برنامج فدية تشفيري يقوم بتشفير بيانات المستخدمين ويلجأ إلى آلية العد التنازلي لتخويف الضحايا وإرغامهم على دفع مبالغ بعملات Bitcoin مقابل فك التشفير. يدعي المجرمون الإلكترونيون أنه يوجد موعد نهائي صارم مدته 72 ساعة للدفع، وإلا تُفقد كل الملفات للأبد. تطلق Kaspersky Lab على برنامج الفدية اسم "Onion" لأنه يستخدم شبكة تور المجهولة (موجِّه Onion) لإخفاء طبيعته الضارة ولتعقيد عملية تتبُّع المسؤولين عن حملات البرامج الضارة المستمرة هذه.
لتحسينات التقنية التي أُجريت على البرنامج الضار جعلت منه إصدارًا لاحقًا محتملاً لبرنامج قفل التشفير Cryptolocker، الذي يُعدّ تهديدًا خطيرًا بالفعل كونه أحد البرامج المشفرة الأكثر تعقيدًا في الوقت الحالي.
يتواصل Onion مع خوادم الأوامر والتحكم الموجودة في مكان ما داخل الشبكة المجهولة لنقل البيانات السرية ومعلومات الدفع. يؤدي إخفاء خادم الأوامر في شبكة تور مجهولة إلى تعقيد عملية البحث عن المجرمين الإلكترونيين، وجعل فك تشفير الملفات أمرًا مستحيلاً مع استخدام مخططات التشفير غير التقليدية، حتى لو تمت مقاطعة حركة المرور بين حصان طروادة والخادم. لمعرفة المزيد عن مخطط التشفير، يُرجى الرجوع إلى النشرة ذات الصلة في المدونة على securelist.com
سُجِّلت معظم محاولات الإصابات في رابطة الدول المستقلة، بينما اكتُشفت حالات فردية في ألمانيا وبلغاريا وإسرائيل والإمارات العربية المتحدة وليبيا.
اكتُشف Trojan-Ransom.Win32.Onion في الدول التالية:
ينتقل البرنامج الضار Onion أولاً عبر بوت نت Andromeda (Backdoor.Win32.Androm) ليصل إلى جهاز معين. ثم يحصل الروبوت على أمر بتنزيل برنامج ضار آخر من عائلة Joleee وتشغيله على الجهاز المصاب. وبعد ذلك، يقوم هذا البرنامج الضار بتنزيل البرنامج الضار Onion على الجهاز. وهذه إحدى الطرق المحتملة التي لوحظت لنشر البرنامج الضار.