Para transferir datos secretos e información de pago, este programa, denominado CTB-Locker (Curve-Tor-Bitcoin Locker), Onion (Kaspersky) o Critroni (Microsoft) se comunica con los servidores de comando y control ubicados en algún lugar anónimo dentro de la red.
Para que el malware llegue a un dispositivo, primero debe pasar a través de la red de bots Andrómeda (Backdoor.Win32.Androm). El bot recibe un comando para descargar y ejecutar otra pieza de malware de la familia Joleee en el dispositivo infectado. Este último software malicioso, a continuación, descarga el malware Onion en el dispositivo. Esta es sólo una de las posibles formas en que Kaspersky Lab ha observado hasta el momento de distribuir el malware.
La mayoría de intentos de infección se han registrado en la CEI (comunidad de estados independientes de exrepúblicas soviéticas), pero también ha habido casos detectados en Alemania, Bulgaria, Israel, los Emiratos Árabes Unidos y Libia. Las muestras de malware más recientes admiten la interfaz en idioma ruso. Este hecho y el número de cadenas en el interior del cuerpo del troyano sugieren que los creadores de malware hablan ruso.
