Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

Heise Security liegt der Quellcode einer noch nicht sonderlich weit verbreiteten Ransomware vor, die das Open-Source-Verschlüsselungs-Programm Gnu Privacy Guard, kurz GnuPG oder GPG missbraucht. GPG ist die wichtigste Implementierung des PGP-Standards; es gilt als hochsicheres Verschlüsselungs-Tool, an dem sich selbst die NSA die Zähne ausbeißen würde.
Der trun-Trojaner wird derzeit vor allem via Mail verbreitet. Er hat bereits erste Opfer gefunden; mit weiteren ist zu rechnen. Anders als bei Locky oder TeslaCrypt stellen die Erpresser nicht gleich Lösegeld-Forderungen, sondern bieten Hilfe durch "Experten" an. Letztlich wollen sie dann aber doch für die Entschlüsselung der gekaperten Daten Geld in Form von nicht zu ihnen verfolgbaren Bitcoins.

Es handelt sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.
PGP-Schlüssel des trun-Trojaners

Den geheimen Schlüssel eines Pseudo-Benutzers Cellar, der erforderlich ist, um die Dateien wieder zu entschlüsseln, exportiert der Trojaner mit dem Kommando

gpg.exe -r Cellar --export-secret-keys

Anschließend verschlüsselt er diesen mit dem Befehl

gpg.exe -r kkkkk ... -o "%temp%trun.KEY"

an einen Empfänger namens "kkkkk", dessen öffentlichen Schlüssel der trun-Trojaner mitbringt. Der zugehörige geheime Schlüssel befindet sich vermutlich im Besitz des kriminellen Erpressers. Um wieder an seine Daten zu kommen, fordert er die Datei trun.KEY des infizierten Systems an. Aus ihr extrahiert er dann mit diesem geheimen Schüssel den zum Entschlüsseln benötigten Cellar-Schlüssel.
Im übrigen versucht der trun-Trojaner wie auch TeslaCrypt mit Hilfe des Windows-Tools wmic.exe vom System angelegte Schattenkopien zu löschen. Dies muss jedoch mit Administrator-Rechten geschehen und erzeugt dank der Benutzerkontensteuerung (UAC) somit eine Sicherheitsabfrage. Sollte ein Rechner also aus heiterem Himmel um Erlaubnis für etwas wie ""shadowcopy delete" nachfragen, sollte man dies lieber ablehnen und sich auf die Suche nach einem möglichen Trojaner auf dem System machen.
Bericht eines trun-Opfers

Ein Opfer berichtete heise Security, dass er tatsächlich nach Zahlung von 1.3 Bitcoins, also umgerechnet etwa 500 Euro, den Schlüssel, eine Kopie von gpg.exe und ein Skript erhielt, mit dem es möglich sein sollte, die Dateien zu entschlüsseln.

In der gelieferten Batch-Datei decrypt.bat lauerte allerdings eine böse Falle. Durch einen Fehler bei der Übergabe des Laufwerksbuchstabens an die decode-Routine wurden die Dateien nicht entschlüsselt aber gelöscht! Erst nach einer Anpassung funktionierte das Skript wie versprochen.
Knacken unmöglich

Die Verschlüsselung des trun-Trojaners durch GPG erfolgt mit einem 1024-Bit-RSA-Schlüssel; sie dürfte in der Praxis nicht zu knacken sein. Die einzige Chance an die verschlüsselten Daten zu kommen, ist der geheime Schlüssel.

Achtung: Wer das Trojaner-Skript rechtzeitig abbricht, findet den geheimen Schlüssel eventuell noch im Ordner %temp% (unter AppDataLocalTemp). Selbst wenn der Trojaner sie gelöscht hat, können Experten ihn unter Umständen mit Wiederherstellungs-Tools wie Recuva noch retten. Diese Chancen werden jedoch geringer, je länger der Computer nach der Infektion noch genutzt wurde; bei SSDs stehen sie generell eher schlecht.