Без рубрики

Вредоносная программа Emotet

03.12.2021
stepsoft

Emotet запускался как банковский троян, изначально предназначенный только для перехвата банковских данных. За очень короткое время Emotet превратился в самую опасную вредоносную программу в мире, внедряясь в системы органов власти, компаний, частных пользователей и заражая их дальнейшими вредоносными программами.Оглавление

  1. Что такое Emotet
  2. Как работает вредоносная программа Emotet
  3. Процесс заражения Emotet
  4. Могут ли антивирусные сканеры распознать Emotet
  5. Инструменты для отслеживания Emotet
  6. Как удалить Emotet
  7. Как защитить себя от Emotet

Что такое Emotet?

Emotet относится к семейству вредоносных программ (макровирусов), которые в основном поражают системы Windows. Макровирусы не имеют независимого кода, но используют языки макросов из существующих приложений, таких как Word или Excel. В этом есть коварство: они прячутся во вложениях электронной почты, автоматически запускаются при открытии, укрываются глубоко в системе и перезагружают вредоносное ПО. Emotet работает именно по этому принципу.Emotet был впервые выявлен в 2014 году как банковский троян, заражавший браузеры и перехватывающий данные доступа. Вскоре вредоносная программа заразила компьютеры не только через спам-сообщения и вложения, но и использовала сбор данных Outlook для чтения и атаки контактных данных, хранящихся в почтовых учетных записях. Попав в систему, Emotet служит средством, открывающим двери для дальнейших вредоносных программ.Хорошие новости: антивирусные сканеры теперь могут распознавать большинство вариантов Emotet. Еще лучшая новость: в 2021 году BKA удалось разгромить инфраструктуру Emotet и ботнет. С тех пор вредоносная программа была в значительной степени парализована. 25 апреля 2021 года Emotet удалился и больше не может представлять серьезной угрозы в ближайшем будущем. Однако вредоносное ПО может быть перезагружено, и все еще может быть активным.

Как работает вредоносная программа Emotet?

Emotet гениален. Вредоносная программа сочетает в себе аспекты других вредоносных кодов, таких как трояны или черви, и работает по принципу ATP-атаки. Это означает, что концентрированные и продолжительные кибератаки с Emotet особенно нацелены на сложные ИТ-ландшафты и сети органов власти и компаний. Цель состоит в том, чтобы распространить его как можно шире, шпионить и красть пользовательские данные, изменять системы или шифровать данные с помощью атак программ-вымогателей и вымогать деньги.Заражение происходит при открытии вложений и ссылок в спам или фальшивых письмах. При открытии Emotet активирует макроконтент и атакует систему. В более новых версиях Emotet используется Outlook Harvesting для чтения контактной информации из почтовых учетных записей и сетей компании. Emotet анализирует существующие сообщения, имитирует отправителей писем и рассылает поддельные вредоносные письма. Ваши контакты получают реальные электронные письма из вашей учетной записи, а вы их не видите в отправленных письмах. Вы также будете получать поддельные электронные письма со знакомых адресов электронной почты. Другой метод распространения — это принцип грубой силы, при котором Emotet использует списки паролей для распространения по другим сетям.Если в системе есть Emotet, он работает как открыватель дверей. Данные доступа могут быть переданы киберпреступникам, а вредоносные программы, такие как банковские трояны, могут быть перезагружены. Кроме того, Emotet обновляется в фоновом режиме. Затронутые стороны неосознанно становятся частью ботнета.

Процесс заражения Emotet

Заражение Emotet на первых этапах практически всегда идентично:

  • Вы получаете спам или поддельное письмо (даже от надежных отправителей) с вредоносной ссылкой или зараженным вложением.
  • Вы открываете вложение и автоматически активируете вредоносные макросы или щелкаете ссылку и бессознательно загружаете вредоносное ПО.
  • Emotet глубоко внедряется в систему, считывает списки контактов и получает доступ к данным, распространяется через контакты электронной почты или подключенные сети и рассылает новые спам и фишинговые сообщения из зараженных учетных записей.
  • Emotet перезагружает другие вредоносные программы, такие как TrickBot или программы-вымогатели, шпионит за данными доступа и, в худшем случае, приводит к серьезному повреждению системы и зашифрованным данным компании.

Могут ли антивирусные сканеры распознать Emotet?

Обнаружить заражение Emotet сложно. В начале своего расширения Emotet умел скрываться от антивирусных программ и незамеченным распространяться в сети. Причина хорошей маскировки заключалась в постоянном обновлении кода, благодаря чему вредоносная программа уклонялась от сигнатурного поиска антивирусных программ. Еще более изощренно: Emotet может переходить в не вызывающий подозрений спящий режим, когда антивирусные сканеры приближаются к его цифровой среде.Если Emotet уже находится в системе, вы, вероятно, узнаете об этом только тогда, когда контакты получат поддельные электронные письма из вашей учетной записи или подозрительные электронные письма от коллег или знакомых попадут в ваш почтовый ящик. Необъяснимые заражения другими вредоносными программами также указывают на Emotet. Удаление вредоносных программ с помощью антивирусного сканера не означает, что Emotet не загрузит новые вредоносные программы в фоновом режиме.

Инструменты для отслеживания Emotet

Если вы хотите быть в безопасности, можете использовать следующие инструменты в дополнение к последней версии программного обеспечения безопасности:

  • EmoCheck-Tool: специально ищет в системе подозрительные файлы Emotet или макросы.
  • EmoKill: сканирует подозрительные системные процессы, указывающие на Emotet.
  • Have I been Emotet (веб-приложение): проверяет, были ли адреса электронной почты / домены частью ботнета.

Как удалить Emotet?

Очистка зараженной системы занимает много времени, особенно если затронуты не только частные компьютеры, но и вся сеть компании. В любом случае важно полностью настроить все зараженные компьютеры, изменить пароли и доступ к данным, а также обновить систему.В случае заражения следует выполнить следующие действия:

  • Изолируйте компьютеры и системы от сети, чтобы сдержать заражение.
  • Создавайте резервные копии и образы памяти (для последующей оценки, восстановления или для правоохранительных органов).
  • Не входите в затронутые или потенциально зараженные системы, используя учетные записи администратора или привилегированные учетные записи.
  • Смена паролей через внешние каналы.
  • Обучайте сотрудников (также в том случае, если сети компании используются с частными учетными записями).
  • Предупреждать всех контактов электронной почты через внешние каналы о возможных поддельных спаме и фишинговых письмах.
  • Как только системы будут изолированы и контакты будут проинформированы, компьютеры необходимо временно заменить.

Как защитить себя от Emotet?

В первую очередь, чтобы исключить заражение, существуют защитные меры, которые могут предотвратить заражение вредоносным ПО:

  • Отключите макросы в файлах Office или разрешите только подписанные макросы.
  • Поддерживайте актуальность систем и приложений с помощью обновлений (включая операционные системы, антивирусное программное обеспечение, учетные записи электронной почты, приложения Office и браузеры).
  • Не открывайте подозрительные вложения или ссылки.
  • Создавайте регулярные параллельные резервные копии важных данных и / или сохраняйте их во внешнем облаке.
  • В случае известных отправителей почты следите за отклонениями и открывайте только вложения (особенно файлы Office), если нет сомнений.
  • Убедитесь, что текст ссылки соответствует целевому URL-адресу, наведя указатель мыши на текст ссылки, но не щелкая его.
  • Не выходите в интернет с частными учетными записями и правами администратора.
  • Используйте надежные пароли и, если возможно, двухфакторную аутентификацию.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *