Onion Ransomware

Por GoldSparrow em Ransomware
Traduzir Para:

Cartão de pontuação de ameaças

Popularity Rank: 6,152
Nível da Ameaça: 50 % (Médio)
Computadores infectados: 3,474
Visto pela Primeira Vez: August 27, 2015
Visto pela Última Vez: June 29, 2026
SO (s) Afetados: Windows

O Onion Ransomware é uma versão melhorada da infame infecção pelo CTB Locker Ransomware. Outros nomes para o Onion Ransomware incluem Citroni e várias variantes do CryptoLocker. Como a maioria das infecções por um ransomware de criptografia, o Onion Ransomware assume um computador, criptografa os arquivos da vítima e exige um resgate para fornecer a chave de descriptografia.

As Melhorias Feitas no Onion Ransomware

O Onion Ransomware também conhecido como CTB-Locker (uma abreviação do Curve Tor Bitcoin Locker) recebe esse nome porque o Onion Ransomware usa o Tor para se proteger da detecção e da remoção. O uso do Tor e de Bitcoins nos ataques do Onion Ransomware torna difícil para os pesquisadores de segurança do PC identificarem a origem dos ataques do Onion Ransomware. Os analistas de malware consideram que o Onion Ransomware é um dos codificadores mais avançados ativos atualmente. Existem várias atualizações na última versão do Onion Ransomware. O Onion Ransomware permitirá que as vítimas decodifiquem cinco de seus arquivos como um "teste", sem pagar o resgate. O Onion Ransomware também ataca em três novos idiomas (alemão, italiano e holandês) e se conecta ao Tor de várias formas.

Protegendo o Seu Computador Contra o Onion Ransomware

A melhor maneira de proteger o seu computador contra ataques de ransomwares de criptografia é fazendo um backup de todos os seus dados em um dispositivo externo ou na nuvem. Um programa de segurança forte, totalmente atualizado e bons hábitos de navegação também são partes essenciais na proteção do seu computador contra esse tipo de ataque. No entanto, pagar o resgate do Onion Ransomware não garante que você receberá a chave de descriptografia e permitirá que as pessoas responsáveis pelos ataques do Onion Ransomware continuem realizando suas operações.

Reconhecendo uma Infecção pelo Onion Ransomware

As infecções pelos ransomwares de criptografia aumentaram nos últimos anos. O Onion Ransomware pode ser distinguido dos seus concorrentes devido às notas de resgate características que o Onion Ransomware usa, que incluem os prefixos MW_ ou KK_. As variantes do Onion Ransomware tendem a exigir um resgate de três a quatro Bitcoins. O Onion Ransomware tende a se espalhar usando Trojans backdoor que são entregues usando anexos de email corrompidos. Dois Trojans foram associados aos ataques do Onion Ransomware. Eles são o Backdoor.Win32.Hlux e o HEUR:Trojan.Win32.Generic.

Abaixo, há uma amostra do texto de uma nota de resgate exibida pelo Onion Ransomware (essas notas de resgate tendem a mudar, bem como certas informações, tais como os endereços de e-mail incluídos):

Bom dia. Seu computador foi bloqueado por um ransomware, seus arquivos pessoais estão criptografados e, infelizmente, você "perdeu" todas as suas imagens,
arquivos e documentos do computador. A criptografia de arquivos importantes produzida neste computador: vídeos, fotos, documentos, etc.
A criptografia foi produzida usando a chave pública e única RSA-1024 gerada para este computador. Para descriptografar os arquivos você precisa obter a chave privada.
Todos os arquivos criptografados contêm MW_
Seu número: [editado]
Para obter o programa para este computador, que irá descriptografar todos os arquivos, você precisa pagar
3 bitcoins no nosso endereço bitcoin [editado] (hoje 1 bitcoin equivalia a 260 dólares americanos). Somente nós e você conhecemos esse endereço de bitcoin.
Você pode verificar o balanso de bitcoin aqui - https://www.blockchain.info/address/[dited]
Após o pagamento, envie-nos o seu número em nosso correio ttk@ruggedinbox.com e nós lhe enviaremos a ferramenta de descriptografia (você só precisa executá-la e todos os arquivos serão descriptografados durante 1 ... 3 horas)
Antes do pagamento, você pode nos enviar um pequeno arquivo (100..500 kilobytes) e nós o descriptografaremos - é a sua garantia de que temos ferramenta de descriptografia. E envie-nos seu número com o arquivo anexado
Nós não sabemos quem você é. Tudo o que precisamos - é dinheiro.
Não entre em pânico se não respondemos durante 24 horas. Isso significa que não recebemos sua carta (por exemplo, se você usa hotmail.com ou outlook.com
ele pode bloquear a letra, então NÃO USE HOTMAIL.COM OU OUTLOOK.COM. Você precisa registrar a sua conta de e-mail no www.ruggedinbox.com (levará 1..2 minutos) e escreva-nos novamente)
Você pode usar um desses trocadores de bitcoin para transferir bitcoins.

Relatório de análise

Informação geral

Family Name: HackTool.Delf.A
Signature status: No Signature

Known Samples

MD5: 43e8a21a8dd77e82f28a6b4e2f0664b6
SHA1: 7abc16d24306aae7584f6a8735a8642e3155700c
SHA256: 1F0AE6E99A3C132F14E23F9F6F36A7F13B76C919F5F9C0BD8C4FBFC4132F136D
Tamanho do Arquivo: 252.93 KB, 252928 bytes
MD5: fe8a51c194409e0ac2836171db063746
SHA1: 75e63130f2a5ce45019a7934d469701be26cf56d
SHA256: C049E8CD4E5447A5D0411598CC41A1FAA26B5893137329532786F5074B9F1276
Tamanho do Arquivo: 364.03 KB, 364032 bytes
MD5: d81dabe2fe1ae4867a82ac7aaab91982
SHA1: b8a8f98774d117feaada6581eb61dd57bb543170
SHA256: DE06282E812F38F81946C9AE6E4BDB78BEC1A360A1B961045CBD9CF41F6BD0F2
Tamanho do Arquivo: 196.10 KB, 196096 bytes
MD5: ec9df31f70f403b277a2acea8bc32b8d
SHA1: 7fd223a9db5daa8d40c791c3cc828f20d3a8e494
SHA256: 3D235A568A5835B4A8ACBE72551889571F518D60597E4A574EEAACC3BEB7CF34
Tamanho do Arquivo: 262.66 KB, 262656 bytes
MD5: 0f6991f2bca0c4f7c0c316fbe8457def
SHA1: d253656bdf6d4fafe716a0bec2754facc02a8ab1
SHA256: 8F9662E60B40B6439E9831140DB3F9FB62E1E549E72F9BA41CFB6681A996E0CB
Tamanho do Arquivo: 252.93 KB, 252928 bytes
Show More
MD5: 2b0bec2e209c304614adad8cf37ea723
SHA1: 99b7da24c722b6c06857f4e4c8c2d167fa433a73
SHA256: 951F79466C3576FEAB0C2F16376AF89A26555690C45CBE4F0CFF3E9EF95493E4
Tamanho do Arquivo: 384.68 KB, 384676 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have relocations information
  • File doesn't have security information
  • File has TLS information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
Show More
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Nome Valor
File Version 1.00
Internal Name TJprojMain
Original Filename TJprojMain.exe
Product Name Project1
Product Version 1.00

File Traits

  • 2+ executable sections
  • No Version Info
  • x86

Files Modified

File Attributes
c:\users\user\appdata\local\microsoft\windows\usrclass.dat{dba6b5ef-640a-11ed-9bcb-f677369d361c}.txr.1.regtrans-ms Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\appdata\local\microsoft\windows\usrclass.dat{dba6b5ef-640a-11ed-9bcb-f677369d361c}.txr.2.regtrans-ms Generic Read,Write Data,Write Attributes,Write extended,Append data

Windows API Usage

Category API
Other Suspicious
  • SetWindowsHookEx

Postagens Relacionadas

Mais visto

Carregando...