Ansicht von 0 Antwort-Themen
    • Fritz Stockhammer
      Teilnehmer
      Post count: 155
      #31216 |

      http://www.heise.de/security/meldung/Erpressungs-Trojaner-verschluesselt-mit-PGP-3116677.html

      Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

      Heise Security liegt der Quellcode einer noch nicht sonderlich weit verbreiteten Ransomware vor, die das Open-Source-Verschlüsselungs-Programm Gnu Privacy Guard, kurz GnuPG oder GPG missbraucht. GPG ist die wichtigste Implementierung des PGP-Standards; es gilt als hochsicheres Verschlüsselungs-Tool, an dem sich selbst die NSA die Zähne ausbeißen würde.

      Der trun-Trojaner wird derzeit vor allem via Mail verbreitet und befällt Windows-Systeme. Er hat bereits erste Opfer gefunden; mit weiteren ist zu rechnen. Anders als bei Locky oder TeslaCrypt stellen die Erpresser nicht gleich Lösegeld-Forderungen, sondern bieten Hilfe durch “Experten” an. Letztlich wollen sie dann aber doch für die Entschlüsselung der gekaperten Daten Geld in Form von nicht zu ihnen verfolgbaren Bitcoins.

      Es handelt sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.

Ansicht von 0 Antwort-Themen

You must be logged in to reply to this topic.