Die Verbreitung des trun-Trojaners erfolgt vor allem per Mail. Befallen werden Windows-Systeme. Wie es heißt wurden bereits erste Opfer gefunden. Im Gegensatz zu bisherigen Trojaner-Versionen gibt es vorerst keine Lösegeldforderungen durch die Erpresser. Sie bieten den Opfern Expertenhilfe an, die allerdings für die Datenentschlüsselung Lösegeld in Form von Bitcoins verlangen.
Laut Analyse handelt es sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.
Funktionsweise des trun-Trojaners
Wie der trun-Trojaner funktioniert erläuterten die Experten von heise Security wie folgt:
Den geheimen Schlüssel eines Pseudo-Benutzers Cellar, der erforderlich ist, um die Dateien wieder zu entschlüsseln, exportiert der Trojaner mit dem Kommando
gpg.exe -r Cellar --export-secret-keys
Anschließend verschlüsselt er diesen mit dem Befehl
gpg.exe -r kkkkk ... -o "%temp%\trun.KEY"
an einen Empfänger namens "kkkkk", dessen öffentlichen Schlüssel der trun-Trojaner mitbringt. Der zugehörige geheime Schlüssel befindet sich vermutlich im Besitz des kriminellen Erpressers. Um wieder an seine Daten zu kommen, fordert er die Datei trun.KEY des infizierten Systems an. Aus ihr extrahiert er dann mit diesem geheimen Schüssel den zum Entschlüsseln benötigten Cellar-Schlüssel.
Der trun-Trojaner versucht auch vom System angelegte Schattenkopien zu löschen. Da dies nicht ohne Administrator- Rechte möglich ist erzeugt die Benutzerkontensteuerung (UAC) somit eine Sicherheitsabfrage. Wenn also der PC etwa "shadowcopy delete" einfordert, sollte man das unbedingt ablehnen. Man kann dann aber davon ausgehen, dass sich der trun-Trojaner bereits eingenistet hat.
Entschlüsselung nach Lösegeldzahlung?
Nach Zahlung von Lösegeld von 1.3 Bitcoins, etwa 500 Euro erhalten die Opfer den Schlüssel, eine Kopie von gpg.exe und ein Skript, mit dem es möglich sein sollte, die Dateien zu entschlüsseln.
Mit der gelieferten Batch-Datei decrypt.bat werden die Opfer erneut betrogen. Durch einen Fehler bei der Übergabe des Laufwerksbuchstabens an die decode-Routine wurden die Dateien nicht entschlüsselt aber gelöscht! Erst nach einer Anpassung funktionierte das Skript wie versprochen.
Der Rat der Experten lautet:
Wer das Trojaner-Skript rechtzeitig abbricht, findet den geheimen Schlüssel eventuell noch im Ordner %temp% (unter AppData\Local\Temp). Selbst wenn der Trojaner sie gelöscht hat, können Experten ihn unter Umständen mit Wiederherstellungs-Tools wie Recuva noch retten. Diese Chancen werden jedoch geringer, je länger der Computer nach der Infektion noch genutzt wurde; bei SSDs stehen sie generell eher schlecht.
Weiterhin gelten die gleichen Ratschläge wie zum Schutz vor dem verwandten Erpressungs-Trojaner Locky!
