Az Emotet Trojan válaszol a kapott e-mailekre, és ellopja a fogyasztói tanácsadó központ mellékleteit

A trójai faló spam e-mailben vagy barátok üzenetében érkezik áldozatának számítógépéhez. Innentől kezdve szinte észrevétlenül szétterül. Az Emotet alattomos trükkökkel dolgozik.

A lényeg lényeg röviden:

  • A Szövetségi Információbiztonsági Hivatal (BSI) figyelmeztet az Emotet trójai programra.
  • A rosszindulatú program beágyazódik az áldozatok számítógépeibe, észrevétlenül tölt be további rosszindulatú programokat, és elosztja magát a mentett névjegyeknek.
  • E-mailjeit úgy is megjeleníti, mintha válaszok lennének a korábban elküldött üzenetekre.

kapott

James Thew/Fotolia

"Az egyik legnagyobb fenyegetés világszerte"

A Szövetségi Információbiztonsági Hivatal (BSI) számára az Emotet "a világ egyik legnagyobb fenyegetése a rosszindulatú programok miatt". A trójai megfertõzi a céges és a magán számítógépeket, és már milliók károkat okozott. 2019 december közepén a BSI figyelmeztetett a spam e-mailekre, amelyek nyilvánvalóan a szövetségi hatóságoktól érkeztek, és tartalmazzák az Emotetet. Több szakmédia most arról számol be, hogy az Emotet néhány hónapos szünet után ismét aktív. Mitől olyan veszélyes a kártevő?

Az Emotetet elsősorban a bűnözők terjesztik nagyszabású spam kampányok útján. Gyakran e-maileket csatolnak állítólagos számlákkal. Az általános elv itt: Ne nyissa meg az ismeretlen feladóktól származó mellékleteket! Ha kétségei vannak, kérdezze meg telefonon, hogy fájlokat küldtek-e Önnek e-mailben. De Veszély: 2020 júniusa óta újdonság, hogy az Emotet ellophat és valódi mellékleteket is küldhet az e-mailes levelezésből. Ettől a rosszindulatú üzenet még hihetőbbnek tűnik.

Különösen trükkös, ha az e-mail feladója nyilvánvalóan valaki, akinek nemrég írt. Az Emotet összegyűjti a meglévő e-mail címeket, és mellékletként vagy linkként küldi el magát az új üzenetekben. A kártevő ezt különféle e-mail programokban teheti meg. Az Outlook e-mail programban az Emotet még ennél is többet tehet: elolvashatja az e-mail tartalmát, és felhasználhatja az általa küldött új e-mailekhez. A módszer neve "Outlook betakarítás". Az Emotet által küldött e-mailek úgy nézhetnek ki, mint egy válasz arra az e-mailre, amelyet nemrégiben küldött az érintettnek.

Ha e-mail programok nélkül teljesít, és például egy e-mail szolgáltató webes felületét használja, az nem nyújt automatikusan magasabb védelmet. Mivel a vírusok, a trójaiak és más rosszindulatú programok ezen keresztül megfertőzhetik a számítógépet is.

Példa az Emotet e-mailjére

A BSI számítógépes sürgősségi csapata példát mutat arra, hogy milyen lehet az Emotet e-mail a címzett számára. Bertram Müller és Antje Meier oda-vissza e-mailt küldött egy jármű parkolójáról (piros négyzet lent). Az Emotet ezt a levélváltást veszi alapul, és saját szöveget ír róla, amely új válasznak tűnik Antje Meiertől Bertram Müllerig.

A számítógépes vírus linket illeszt be a szövegébe. De nem kell ahhoz a címhez vezetnie, amely olvasható (azaz a musterfirma.de példában). Ha az egérmutatót a link felett tartja (kattintás nélkül!) az e-mail program megmutatja, hogy a kattintás egy teljesen más címre vezet (nevezetesen itt, a super-plus.pl. példában).

Kép: CERT-Bund/BSI

Az ilyen e-mail címzettjeként ezért két dologra kell figyelnie:

  • Helyes a nyelv? Ebben az esetben a német szinte hibátlan. De a címzett Bertram Müller valószínűleg csodálkozni fog, miért hívja Antje Meier hirtelen téged.
  • Helyes a megjelenített link? Ha az egérmutatót a linken tartja és ne kattints rá, az e-mail programod megmutatja, hogy melyik internetcím áll mögötte. Ha az olvashatón kívül valami más jelenik meg, akkor valószínűleg valami nincs rendben!

Mivel az Emotet által küldött e-mailek nem találhatók a kimenő vagy elküldött mappában, az érintett számítógép-felhasználók kezdetben semmit sem vesznek észre a rosszindulatú programról. Más trójai programokat és rosszindulatú programokat, amelyeket az Emotet önállóan tölt be a fertőzött számítógépekre, gyakran észre sem veszik. Ezután például olvashatnak hozzáférési adatokat, titkosíthatják a fájlokat, vagy teljes hozzáférést adhatnak a támadóknak a fertőzött számítógéphez. Mivel a programozók folyamatosan cserélik rosszindulatú programjaikat, a vírusvédelmi programok nem fedezhetik fel őket, és alapos változtatásokat hajthatnak végre a fertőzött rendszerekben. "A takarítási kísérletek általában sikertelenek, és azzal a kockázattal járnak, hogy a rosszindulatú programok a rendszerben maradnak" - figyelmeztet a CERT-Bund. Az egyetlen lehetőség a számítógép összes adatának törlése és a rendszer újbóli beállítása. Akkor jó, ha van ilyen tiszta biztonsági másolat Van.

Így védheti meg magát

  • Ellenőrizze a kritikusan ismert küldők e-mailjeit is. Helyes a nyelv? Reális? A linkek vagy mellékletek megnyitása előtt: Ha kétségei vannak, kérdezze meg a új Email (nem válaszként a beérkezettre!) Ellenőrizze az állítólagos feladótól, hogy valóban küldött-e neked valamit.
  • Mindig tartsa naprakészen az operációs rendszert, a vírusvédelmi programot és a többi programot. A lehető leghamarabb telepítenie kell az új frissítéseket.
  • Rendszeresen készítsen biztonsági másolatot a rendszerről. Ha van biztonsági másolata, sokkal könnyebb helyreállítani a számítógépet, ahogyan ismeri.
  • Ne böngészjen rendszergazdaként. Hozzon létre egy Windows felhasználói fiókot rendszergazdai jogok nélkül, és csak ezzel használja az internetet és az e-maileket. Ily módon egyetlen szoftver sem telepíthető az operációs rendszer lekérdezése nélkül.
  • Kapcsolja ki a makrókat az Office programokban. A rosszindulatú szoftvereket ily módon gyakran csempészik a számítógépekre. Hacsak nem kell makrókkal dolgoznia az irodai szoftverben, kapcsolja ki őket teljesen.

Mi a teendő, ha aggódik?

  • Tájékoztassa a körülötted tartózkodókat a fertőzésről, mert ebben az esetben az e-mail kapcsolatait különösen veszélyeztetik.
  • Az érintett rendszereken (például a webböngészőben) mentett és bevitt összes hozzáférési adat módosítása.
  • A rosszindulatú program néha mélyreható (a biztonság szempontjából releváns) változásokat hajt végre a fertőzött rendszerben. Ha a számítógépet rosszindulatú programok, például az Emotet fertőzte meg, akkor állítsa be újra vagy újra.