Erpressungs-Trojaner verschlüsselt mit PGP

Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

In Pocket speichern vorlesen Druckansicht 346 Kommentare lesen
Hacker

(Bild: dpa, Karl-Josef Hildenbrand/Symbol)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Heise Security liegt der Quellcode einer noch nicht sonderlich weit verbreiteten Ransomware vor, die das Open-Source-Verschlüsselungs-Programm Gnu Privacy Guard, kurz GnuPG oder GPG missbraucht. GPG ist die wichtigste Implementierung des PGP-Standards; es gilt als hochsicheres Verschlüsselungs-Tool, an dem sich selbst die NSA die Zähne ausbeißen würde.

Die Meldung des trun-Trojaners im Wortlaut

ATTENTION!

All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm

Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
_____________________________
contact an expert on e-mail:trunhelp@yandex.ru .

Der trun-Trojaner wird derzeit vor allem via Mail verbreitet und befällt Windows-Systeme. Er hat bereits erste Opfer gefunden; mit weiteren ist zu rechnen. Anders als bei Locky oder TeslaCrypt stellen die Erpresser nicht gleich Lösegeld-Forderungen, sondern bieten Hilfe durch "Experten" an. Letztlich wollen sie dann aber doch für die Entschlüsselung der gekaperten Daten Geld in Form von nicht zu ihnen verfolgbaren Bitcoins.

Es handelt sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.

Den geheimen Schlüssel eines Pseudo-Benutzers Cellar, der erforderlich ist, um die Dateien wieder zu entschlüsseln, exportiert der Trojaner mit dem Kommando

gpg.exe -r Cellar --export-secret-keys

Anschließend verschlüsselt er diesen mit dem Befehl

gpg.exe -r kkkkk ... -o "%temp%\trun.KEY"

an einen Empfänger namens "kkkkk", dessen öffentlichen Schlüssel der trun-Trojaner mitbringt. Der zugehörige geheime Schlüssel befindet sich vermutlich im Besitz des kriminellen Erpressers. Um wieder an seine Daten zu kommen, fordert er die Datei trun.KEY des infizierten Systems an. Aus ihr extrahiert er dann mit diesem geheimen Schüssel den zum Entschlüsseln benötigten Cellar-Schlüssel.

Trojaner-Alarm: Der Versuch Schattendateien zu löschen erzeugt eine Sicherheitsnachfrage, die man ablehnen sollte.

Im übrigen versucht der trun-Trojaner wie auch TeslaCrypt mit Hilfe des Windows-Tools wmic.exe vom System angelegte Schattenkopien zu löschen. Dies muss jedoch mit Administrator-Rechten geschehen und erzeugt dank der Benutzerkontensteuerung (UAC) somit eine Sicherheitsabfrage. Sollte ein Rechner also aus heiterem Himmel um Erlaubnis für etwas wie ""shadowcopy delete" nachfragen, sollte man dies lieber ablehnen und sich auf die Suche nach einem möglichen Trojaner auf dem System machen.

Ein Opfer berichtete heise Security, dass er tatsächlich nach Zahlung von 1.3 Bitcoins, also umgerechnet etwa 500 Euro, den Schlüssel, eine Kopie von gpg.exe und ein Skript erhielt, mit dem es möglich sein sollte, die Dateien zu entschlüsseln.

In der gelieferten Batch-Datei decrypt.bat lauerte allerdings eine böse Falle. Durch einen Fehler bei der Übergabe des Laufwerksbuchstabens an die decode-Routine wurden die Dateien nicht entschlüsselt aber gelöscht! Erst nach einer Anpassung funktionierte das Skript wie versprochen.

Die Verschlüsselung des trun-Trojaners durch GPG erfolgt mit einem 1024-Bit-RSA-Schlüssel; sie dürfte in der Praxis nicht zu knacken sein. Die einzige Chance an die verschlüsselten Daten zu kommen, ist der geheime Schlüssel.

Achtung: Wer das Trojaner-Skript rechtzeitig abbricht, findet den geheimen Schlüssel eventuell noch im Ordner %temp% (unter AppData\Local\Temp). Selbst wenn der Trojaner sie gelöscht hat, können Experten ihn unter Umständen mit Wiederherstellungs-Tools wie Recuva noch retten. Diese Chancen werden jedoch geringer, je länger der Computer nach der Infektion noch genutzt wurde; bei SSDs stehen sie generell eher schlecht.

Es gelten die gleichen Ratschläge wie zum Schutz vor dem verwandten Erpressungs-Trojaner Locky:

(ju)