Как проверить компьютер на предмет заражения Emotet

Вирус Emotet: что это и как с ним бороться?

Произошло серьезное вторжение в сеть Heise, спровоцированное вирусом Emotet. На данный момент IT-департаменты компании Heise Gruppe и ряд привлеченных специалистов работают над анализом, устранением и организованной реконструкцией инфраструктуры Heise.

Троянской атаке были и все еще являются подверженными Heise Gruppe и издательство Heinz Heise (материнская и сестринская компании Heise Medien), которые, помимо прочего, издают компьютерный журнал c’t. Согласно последним расследованиям, на сеть Heise Medien не было никаких посягательств.

В понедельник 13 мая, около 3 часов дня, один из сотрудников открыл email, в котором шла речь о текущем бизнес-процессе. Вероятно, письмо было отправлено одним из партнеров и призывало проверить, а также при необходимости откорректировать данные в прикрепленном документе Word. При открытии этого документа появилось фейковое сообщение об ошибке с указанием кликнуть на кнопку «Enable Editing». Выполнив «инструкцию», сотрудник выпустил джинна из бутылки.

Вирус Emotet инфицировал систему Windows на компьютере работника и незамедлительно начал вершить свои темные дела в сети Heise. Это сразу же проявилось в виде нескольких небольших вспышек инфекций, которые вызвали реакцию антивирусного программного обеспечения (Avira и Windows Defender). Привлеченные администраторы поверхностно очистили системы, будучи убежденными в том, что этого достаточно для решения проблемы.

Это мнение изменилось в среду вечером, когда в файлах защитной системы были поочередно замечены соединения с известными серверами Emotet. Быстрая проверка показала, что уже целый ряд компьютеров подключились к внешним сетям через странные соединения вроде порта TCP-449. Это была красная тревога.

Вдобавок ко всему, один из администраторов обнаружил, что к этому времени уже были очень подозрительные попытки получить доступ к контроллеру домена Active Directory, службы каталогов, которая, помимо прочего, управляет правами доступа в сетях Windows. В первую очередь администраторы попытались прервать соединение с главным сервером Emotet. Но это оказалось гонкой Черепахи и Зайца, которую было никак не выиграть. Новые соединения с Emotet устанавливались беспрерывно. В конце концов администраторы решились на полную блокировку системы. К этому времени интернет-соединение со всеми пораженными сетями было полностью отключено.

Вместе с этим, в отделе IT решили, что им потребуется помощь извне. Начиная с четверга, несколько судебных экспертов и специалистов по реагированию на компьютерные инциденты совместно с IT-специалистами Heise разбирались в ситуации и возобновляли нормальную работу отдела IT, не допуская при этом новую вспышку вирусного заражения сети. Из-за всего случившегося система безопасности была поставлена на проверку и сейчас разрабатываются идеи о том, как можно избежать таких ситуаций в дальнейшем.

Emotet в сети

Вся эта вирусная история все еще идет полным ходом и не прекратится ближайшие несколько недель. Открытых вопросов все еще больше, нежели четких ответов. Но несмотря на это, мы решились задокументировать нынешнее положение дел, поскольку хотим ликвидировать этот инцидент как можно более прозрачно. И, что немаловажно, мы хотим дать другим компаниям возможность учиться на наших ошибках.

Сначала о деятельности Emotet: очевидно, после первоначального инфицирования вирус загрузил новые модули, один из которых называется Trickbot. Они, в свою очередь, незамедлительно инфицировали все компьютеры с установленным Windows-10, пользователи которых имели локальные права администратора. На самом деле, это запрещено правилами пользования. Но были некоторые исключения, например, недавно приобретенные компьютеры для обучения внутри компании, программное обеспечение которых требовало локальных прав администратора. Затем Emotet, а точнее, загруженные им вирусные программы, поразили все активные в сети системы Windows-7; компьютеры с установленным Windows-10 без локальных прав админа, по всей видимости, уцелели. Причина этого до сих пор неизвестна.

По меньшей мере одна часть этих инфекций произошла через учетные данные одного из доменных администраторов. Через них Emotet установил новый сервис на нужном ему компьютере. Как именно он получил доступ к учетным данным, пока до конца не ясно. Хотя в реестре было задокументировано слишком много неудавшихся попыток входа методом подбора пароля. Учитывая, на что способен Emotet, все более вероятным кажется предположение о том, что троян получил учетные данные администратора домена из оперативной памяти какой-то зараженной системы. Также не стоит исключать возможность того, что кто-то из сотрудников компании вошел в пораженную вирусом систему на правах администратора, чтобы ее почистить. Это была бы фатальная ошибка, которую нужно избегать, во что бы то ни стало.

Чего только не произошло

Сейчас все понемногу возвращается на круги своя после случившегося. Особенно потому, что, по всей видимости, в этот раз печальная участь нас миновала. После первой фазы распространения Emotet часто устанавливает трояны-шифровальщики; в связи с этим в сетях компаний был неоднократно найден всем известный вирус Ryuk. При этом хакеры не полагаются только лишь на автоматизированные способности своих программ, а самостоятельно заходят в сеть через протокол удаленного рабочего стола, чтобы локализовать резервные копии и центральные компоненты IT-инфраструктуры. Но поиск на предмет этого пока не продемонстрировал никаких признаков наличия троянов-шифровальщиков и осуществляемого вручную взаимодействия с пораженными системами. Кажется, отключение системы помогло – по крайнем мере на некоторое время.

Ремонтные работы

Все пораженные вирусом компьютеры были выведены из эксплуатации. Также уцелевшие компьютеры с Windows-10 больше не подключались ни к другим сетям, ни к Интернету. Пока так будет и в дальнейшем. Поскольку документировать всю деятельность Emotet оказалось бесполезным и мы не хотим снова быть подверженными риску новой атаки из-за недосмотренных лазеек, поврежденные компоненты системы либо не будут использоваться, либо будут заменены на новые.

Админы решили установить абсолютно новую сеть с новыми компьютерами и новой службой каталогов. Вместе с этим предпринимаются новые, более строгие меры безопасности, которые предотвратят, а точнее сделают маловероятной подобную хакерскую атаку в будущем. Сейчас существующие данные, программы и т. д. с большой осторожностью переносятся в новую сеть. Хотя работоспособность компании в целом восстановлена, наверняка потребуется еще несколько недель на то, чтобы окончательно переместить все файлы.

Пока мы так и не выяснили, какие данные попали в руки хакеров. В любом случае, об этом инциденте сообщили в соответствующий орган, как и полагается по Общему регламенту о защите персональных данных. Более того, полиция также была уведомлена о случившемся. Бизнес-партнеры были оповещены о повышенном риске email-ов с троянами.

Инфраструктура Heise Medien и в особенности редакций журнала c’t и новостного сайта heise online более независима от отдела IT Heise Gruppe. Никаких признаков манипуляций трояна нет. Особенно важно то, что утечки данных подписчиков и бизнес-партнеров Heise Medien зафиксировано не было.

Детали этого инцидента еще надолго останутся загадкой. Но мы будем руководить ситуацией как можно более прозрачно и публиковать новые статьи на эту тему. Сейчас основная тема – это как защититься от Emotet. Самое главное, имейте в виду, что это может коснуться и вашей компании тоже. Подготовьтесь к этому наилучшим образом.

Как обнаружить и остановить Emotet c помощью Varonis

Наша группа реагирования на инциденты отслеживает беспрецедентное количество заражений вредоносным ПО Emotet. Количество активных одновременных расследований Emotet в три раза превышает наш предыдущий рекорд. В этом посте будут рассмотрены индикаторы компрометации, меры по их устранению и то, как Varonis может помочь вам обнаружить и остановить Emotet на каждой фазе атаки.

Обзор Emotet

После долгого перерыва весной 2020 года злоумышленник TA542 (также известный как “Mummy Spider”) вернулся с новой масштабной спам-кампанией, использующей несколько ботнетов по всему миру, а также использующей улучшенный арсенал вредоносного ПО.
Emotet, первоначально известный как банковский троян, впервые был обнаружен в 2014 году. Его основная цель заключалась в перехвате банковских учетных данных с помощью атак типа «Man-in-the-browser». На сегодняшний день Emotet эволюционировал в самообновляемый универсальный набор вредоносных программ, который также действует как загрузчик для полезных нагрузок, таких как Qbot и Trickbot (которые, в свою очередь, загружают Ryuk и Mimikatz).

Поскольку Emotet является полиморфным, конкретные IOC (индикаторы компрометации), такие как URL-адреса загрузчика, комбинации С2 IP (Command and Control IP)/порт и шаблоны спама часто меняются. Эта особенность делает обнаружение на основе правил игрой в кошки-мышки, усугубляемой тем, что существует три разных ботнета Emotet, каждый со своей собственной инфраструктурой. Вы можете найти чудесно подробный ежедневный журнал Emotet IOC, который ведется командой Cryptolaemus.
Попав в сеть, Emotet использует различные методы для распространения, повышения привилегий, обеспечения устойчивости и вывода данных за пределы компании. К cлову, поведенческие модели угроз Varonis могут обнаруживать ранние признаки взлома Emotet, а также аномальное поведение после вторжения.

Первичная компрометация

Вектор заражения Emotet – фишинговая кампания, поддерживаемая тремя глобальными ботнетами: Epoch 1, Epoch 2 и Epoch 3 (для краткости – E1, E2, E3). Каждый Epoch имеет свою собственную инфраструктуру C2, расписание обновлений и шаблоны спама. Фишинговое письмо, как правило, содержит вложения с поддержкой макросов или вредоносные ссылки, предназначенные для заражения новых хостов и добавления их в свой кластер.
Во время последней волны заражений вредоносные письма Emotet содержали защищенные паролем вложения ZIP. Это делается с расчётом, что фильтры электронной почты пропустят запароленный архив без сканирования и не обнаружат вредоносные документы с поддержкой макросов. Такой подход получил название “Operation Zip Lock”.

Пароль обычно указывается в теле письма в виде простого текста, например:
Zip file attached to email: Very urgent information from 24-09-2020.zip
The password for the document is LQWMFXu

При фиксации всплеска количества писем с запароленными вложениями ZIP, рекомендуется помещать такие письма в карантин. Однако имейте в виду, что Emotet также использует документы Office, прикрепленные напрямую.
Кампании вредоносного спама были обнаружены на многих языках: английском, голландском, французском, немецком, итальянском, японском. Epoch-и, вероятно, имеют географическую привязку (например, в Японии распространен E3).

Развитие успеха

Emotet выводит украденные сообщения электронной почты и списки контактов жертв на сервер C2 с помощью запросов HTTP POST. Затем ботнет использует эти данные, чтобы выдать себя за отправителя и «ответить» на существующие разговоры. Сделать это можно, либо подменив отправителя, либо, если есть полный контроль над машиной жертвы, отправив электронное письмо непосредственно от имени жертвы.
Такая техника делает спам Emotet очень убедительным и увеличивает вероятность того, что новая жертва откроет вредоносное вложение.
Varonis отслеживает почтовые ящики Microsoft Exchange и Exchange Online и может обнаруживать вложения вредоносных файлов, которые соответствуют словарю известных шаблонов, используемых в шаблонах спама Emotet. С помощью модуля Edge, контролирующего прокси, возможно обнаружить, когда пользователь нажимает ссылку в теле письма, что приводит к загрузке вредоносного загрузчика Emotet.

Varonis анализирует все действия с почтовым ящиком (отправка/получение/открытие/удаление и т. д.) и это позволяет быстро идентифицировать учетные записи, которые были скомпрометированы и начали рассылать спам-кампании (внутренние или внешние). Профиль поведения пользователя создается с учетом всех наблюдаемых платформ: незначительные отклонения в поведении в почте в сочетании с подозрительными событиями входа в систему, сетевыми подключениями и доступом к данным позволяют получать точные оповещения с небольшим количеством ложных срабатываний.

Varonis Edge может обнаруживать кражу сообщений электронной почты и контактов Outlook. На практике мы наблюдали вывод этих данных благодаря покрытию прокси-серверов компании — Emotet использовал команды HTTP POST. Если в будущем будет создан скрытый канал DNS, то он будет покрыт моделями эксфильтрации на основе DNS.
Подключения к серверам C2 можно обнаружить несколькими способами. Во-первых, если соединение производится с доменом с плохой репутацией, Varonis предупредит и пометит эти соединения. Во-вторых, Varonis обнаруживает, когда злоумышленники скрывают свой трафик в большом количестве соединений («white smoke»), используя алгоритм генерации доменов (DGA). В-третьих, модели поведения Varonis обнаруживают, когда злоумышленники используют DNS в качестве скрытого канала, чтобы скрыть свои команды или передачу данных в виде DNS-запросов. Наконец, Varonis будет предупреждать о необычной веб-активности, такой как использование новых или необычных пользовательских агентов, нетипичный или первый доступ учетной записи к интернету или необычная загрузка данных на внешний ресурс.

Распространение

Emotet имеет множество модулей, которые можно динамически загружать с его C2 сервера для расширения функциональности вредоносного ПО. Есть модуль рассылки спама, модуль кражи электронной почты, банковский модуль и т. д.
Один из модулей, на который следует обратить особое внимание, это модуль для распространения, который позволяет делать это с помощью эксплойтов SMB, таких как EternalBlue (MS17-010) и путем доступа к скрытым административным шарам (ICP$, C$ и Admin$). Мы рекомендуем пропатчить все машины, которые все еще уязвимы для EternalBlue, и отключить административные шары.
Хотя основным методом распространения Emotet является SMB, исследователи из BitDefense обнаружили новую технику распространения, которая сканирует сети Wi-Fi с помощью функции WlanEnumInterfaces в wlanAPI.dll и пытается распространиться на подключенные устройства.
Вредоносное ПО попытается взломать защищенные паролем сети Wi-Fi с помощью встроенного списка паролей. В случае успеха оно пересылает комбинацию SSID и пароля сети обратно на C2 сервер и предпринимает еще одну попытку атаки методом перебора, на этот раз направленную на клиентов этой сети.

Повышение привилегий

Злоумышленники получают учетные данные от привилегированных учетных записей используя хорошо известные инструменты с открытым исходным кодом, ища пароли, хранящиеся в виде простого текста, и собирая учетные данные из Active Directory. Получив учетные данные администратора, злоумышленник может добавить одного или нескольких пользователей в группу администраторов домена.

Наблюдая за активностью файловой системы, Varonis быстро определяет, когда известные инструменты проникновения сохраняются на диск или, когда пользователь ищет в общих файловых ресурсах файлы с паролями или другими конфиденциальными данными. Любая учетная запись пользователя обычно имеет доступ к гораздо большему количеству данных, чем должна, поэтому такие поиски часто бывают плодотворными – подробнее об этом ниже.

Emotet хорошо известен тем, что загружает другие виды вредоносных программ таких как Ryuk, которые в свою очередь загружают инструменты взлома, такие как Mimikatz, для сбора учетных данных и повышения привилегий. Varonis анализирует активность в Active Directory для обнаружения сбора учетных данных (например, Kerberoasting) и других атак. Чтобы снизить вероятность того, что эти атаки будут успешными, Varonis выводит потенциально слабые места (например, административные учетные записи, имеющие SPN) на панель управления. Сокращение площади атаки в AD и на файловых ресурсах усложняет жизнь злоумышленникам. Varonis также уведомит, когда учетная запись будет добавлена в административную группу.

Последний рубеж

Если признаки проникновения, распространения и повышения привилегий не были замечены, важно обеспечить критический уровень защиты крупнейших хранилищ данных, защищая серверы Windows и UNIX, устройства NAS, SharePoint и Exchange (как локально, так и в Office 365).

Varonis анализирует активность файловой системы на платформах, которые обеспечивают аудит с помощью своих API, таких как Office 365 и устройства NAS от NetApp, EMC и других. На платформах, где включение родного аудита может вызывать проблемы с производительностью или аудит недостаточно полный, например, Windows, UNIX, Exchange и SharePoint, Varonis использует собственные проверенные в боях агенты для захвата операций.

Если пользователь начинает обращаться к необычному количеству или множеству данных по сравнению с его нормальным поведением, Varonis обнаружит это с помощью одной или нескольких поведенческих моделей. Если пользователь начинает шифрование файлов, это также будет обнаружено – многие наши заказчики автоматизируют обработку такого инцидента при помощи скриптов, отключая учетную запись и убивая активные сессии.

Varonis выявляет, где доступ к данным избыточен, т. е. пользователи имеют доступ, в котором они не нуждаются. Предусмотрена возможность автоматического изъятия избыточных прав доступа (как прямых, так и путем удаления учетной записи из групп безопасности). Ограничение доступа к важным данным уменьшит риски и затруднит работу любого злоумышленника.

Заключение

Ботнет Emotet – это самое крупное и изощренное оружие в мире для распространения вредоносных программ. Трудно предсказать, какое оружие TA542 будет использовать в следующий раз или какие APT поделятся своим оружием. Что мы действительно знаем, так это то, что кампании Emotet происходят всплесками и сильно различаются по своему характеру, поэтому чрезвычайно важно иметь многоуровневый подход к защите, включая управление обновлениями (patch management), обучение антифишингу, фильтрацию почты, защиту пользовательских устройств и подход, ориентированный на защиту данных (data-centric) наравне с инфраструктурой в целом.

Комплексное обнаружение может дать вашей организации преимущество, но и сокращение поверхности атаки (повышение уровня защищенности) вносит не меньший вклад. Технология Varonis, ориентированная на защиту данных, выстраивает кольца детективного контроля от данных до Active Directory, DNS, VPN и прокси. Varonis также подсвечивает потенциально уязвимые учетные записи и легкодоступные данные, чтобы вы могли исправить ситуацию до того, как злоумышленники ей воспользуются.

Как проверить, не заразило ли Emotet вредоносное ПО на моем компьютере

В этом руководстве мы узнаем, как определить, заражен ли ваш компьютер вредоносным ПО Emotet. Первое, что мы собираемся сделать, это объяснить, как работает эта вредоносная программа. Далее мы поговорим об инструменте Emocheck для его обнаружения, а также дадим ряд рекомендаций, чтобы избежать заражения этой вредоносной программой на нашем ПК.

Мы собираемся начать с того, что лучше познакомимся с этой вредоносной программой, для этого мы поговорим о ее истории и о том, как она обычно действует. В случае с Emotet мы сталкиваемся с банковским трояном, который специализируется на проникновении на компьютеры жертв с целью кражи нашей финансовой информации.

Emotet Malware, история и работа

Malwarebytes охранная компания — одна из тех, кто лучше всех знает эту вредоносную программу. Поэтому в нем тоже есть средства для дезинфекции. Вредоносное ПО Emotet было впервые обнаружено в 2014 году, поэтому можно сказать, что оно имеет давнюю историю. По сей день он продолжает заражать компьютеры и пережил разные версии.

Первая версия этого вредоносного ПО был разработан для кражи данных нашего банковского счета путем перехвата интернет-трафика . Развитие не заняло много времени, и вскоре появилась новая версия. Мы могли классифицировать это как Emotet v2.0, и он поставлялся с несколькими модулями для:

1. Денежный перевод.
2. Отправка спама.
3. Еще одно вредоносное ПО для банков Германии и Австрии.

В январе 2015 года появилась третья версия, содержащая скрытые модификации, призванные уберечь вредоносное ПО от внимания программ безопасности, добавив новые цели для швейцарских банков.

Вредоносное ПО Emotet продолжило стремительное развитие, и в 2018 году оно заметно улучшилось. Тогда была добавлена ​​возможность установки других вредоносных программ на зараженные компьютеры. Кроме того, он также может включать другие банковские трояны или службы рассылки спама.

С точки зрения работы Emotet — это троянец, который распространяется в основном через спам-сообщения. Электронные письма Emotet могут содержать изображения торговых марок, которые выглядят как законные. e-mail.

Это вредоносное ПО использует ряд уловок, чтобы избежать обнаружения и анализа. В связи с этим следует отметить, что Эмотет полиморфен , что означает, что он может изменяться сам по себе каждый раз при загрузке, что позволяет избежать обнаружения на основе сигнатур.

На сегодняшний день затронуты физические лица, компании и государственные учреждения в США и Европе. Ему также удалось украсть банковские записи, финансовые данные и биткойн-кошельки. Короче говоря, это вредоносное ПО может повлиять на всех нас, и поэтому в этом руководстве мы объясним, как узнать, заражен ли наш компьютер вредоносным ПО Emotet.

Вредоносная кампания Emotet и советы по ее предотвращению

Освободи Себя INCIBE (Национальный институт кибербезопасности) обнаружил Emotet вредоносная кампания . Что касается угрозы риска, то ее можно считать высокой.

В зависимости от версии вредоносных программ которым заражен компьютер, это может повлиять на нас следующим образом:

• С заражением программой-вымогателем.
• Кража наших банковских реквизитов, имен пользователей и паролей или адресной книги электронной почты.

Emotet вредоносных программ обычно распространяется через мошеннические электронные письма. Целью писем является загрузка и установка вредоносного вложения. Мы также можем заразиться, щелкнув ссылку из неизвестного источника, которая в конечном итоге загрузит его.

• Не открывайте электронную почту от неизвестных пользователей или то, что мы не запрашивали.
• Перед нажатием рекомендуется просмотреть ссылки. Также, даже если они из наших контактов.
• Будьте осторожны с прикрепленными файлами и никогда не открывайте их. Вы должны быть уверены, что они вам нужны и что отправитель заслуживает доверия. Кроме того, пройти антивирус тоже не помешает.
• Мы должны обновить нашу операционную систему и антивирус.

Как использовать Emocheck для обнаружения Emotet

Теперь настала очередь проверить, не заражен ли наш компьютер вредоносной программой Emotet. Для выполнения этой задачи мы воспользуемся инструментом Emocheck. Первое, что мы собираемся сделать, это перейти к Страница проекта Emocheck на GitHub . Если мы получим к нему доступ, мы увидим следующую информацию:

Как видите, последняя доступная версия — v1.0. Если мы исследуем страницу, то увидим, что ранее были две другие версии, v.001 и v.002. В этом случае я покажу вам, как определить, заражен ли компьютер вредоносным ПО Emotet с Emocheck v.1.0 . Также в случае, если новые версии выходят позже, рекомендуется всегда использовать самую последнюю. Это связано с тем, что позже могут быть выпущены новые варианты Emotet, которые будут обнаруживать только версии выше, чем v1.0.

1. emocheck_v1.0_x64.
2. emocheck_v1.0_x86.exe.

Выбор того или иного файла будет зависеть от Windows операционная система, которая у нас есть. Если у нас 64-битная операционная система, мы выберем исполняемый файл, созданный в x64. Напротив, если у нас 32-разрядная операционная система, мы загружаем exe-файл, который заканчивается на x86. В нашем случае операционная система — 10-битная Windows 64. В настоящее время у большинства людей есть такой тип, чтобы проверить его, просто зайдите в » Панель управления / система » раздел.

Поэтому в нашем случае мы приступили к загрузке файла «emocheck_v1.0_x64». После сохранения на компьютере мы выполнили его двойным щелчком по нему. Далее мы получим такой экран:

Пришло время узнать, заражен ли наш компьютер вредоносной программой Emotet. Для этого он просит нас нажать любую клавишу, чтобы продолжить. Программа запустится, и когда это будет сделано, окно закроется. Лучший способ увидеть результаты — открыть созданный файл .txt.

Если вы посмотрите на экран выше, он говорит об отчете, созданном в файле DESKTOP-0ISTM6G_20200826203704_emocheck.txt. Затем мы переходим в место, где мы сохраняем emocheck_v1.0_x64, и мы видим, что файл с расширением txt, который мы упоминали ранее, находится в этом месте. Мы открываем его, и он предлагает нам следующую информацию:

Здесь, как видите, вредоносная программа Emotet не обнаружена.

Еще один способ обнаружения эмоций и как его удалить

Дополнительный способ проверить, заражен ли наш компьютер вредоносным ПО Emotet, — это проверить службы. Проще всего попасть туда с помощью следующей комбинации клавиш CTRL + SHIFT + ESC . Далее появится диспетчер задач, и мы нажмем на Услуги меню.

Теперь пора поискать странные сервисы, но так как я не заражен, ничего странного не видно. Однако благодаря охранной компании Sophos Я показываю вам пример, в котором ценятся аномальные услуги.

В случае обнаружения служб со случайными числами это может быть признаком того, что ваш компьютер заражен вредоносным ПО Emotet или другим вредоносным ПО. Лучший способ действовать в это время — отключить наш компьютер от Интернета, и мы должны немедленно передать антивирус / антивредоносное ПО. Что же касается лучшего способа защитить себя, то это использование антивирусных и антивредоносных программ.

Рекомендуемый минимум — это, по крайней мере, наличие антивируса, даже если он бесплатный, и наш здравый смысл также является важным инструментом. С помощью этой формулы у нас есть много возможностей предотвратить заражение нашего ПК вредоносным ПО Emotet.

Вредоносный троян Emotet вернулся: как защитить свой компьютер

Троян Emotet заражает устройства через Wi-Fi — но его можно обнаружить, используя специальную программу.

Emotet: чем опасен троянский вирус

Если говорить о возрасте троянов, то Emotet можно назвать настоящим стариком — но он снова и снова адаптируется к антивирусам и возвращается на компьютеры. Эксперты выяснили, как ведет себя вирус: он сканирует соседние беспроводные сети, а затем пытается взломать их шифрование. Таким образом он может «перепрыгивать» с Wi-Fi на Wi-Fi — и, судя по всему, делает это уже давно. Однако вирус можно обнаружить — для этого создан инструмент EmoCheck.

Даже те, кто не особо занимается компьютерной безопасностью, скорее всего слышали об Emotet. Вредоносное ПО уже несколько лет создает пользователям массу проблемам: как банковский троян, похититель паролей или другой вредный софт. Emotet всегда загружает на зараженные системы дополнительные вредоносные модули, если это необходимо его создателям.

Для распространения Emotet имеет в своем арсенале самые необычные способы: он пытается взломать беспроводные сети в пределах досягаемости от зараженных систем, о чем свидетельствует анализ образца Emotet. Недавно эксперты (на портале Bleeping Computer) снова предупредили о трояне и последствиях заражения.

Как обнаружить троян Emotet

В целом, для этого может быть достаточно хорошего антивируса. Если же вы не пользуетесь антивирусными программами или забываете вовремя обновлять сканер, то воспользуйтесь приложением EmoCheck. В текущей версии 1.0 разработчики добавили поддержку выявления нынешнего варианта трояна, который, вероятно, появился в апреле. С помощью этого инструмента можно просканировать подозрительные файлы на ПК и вложения в почте.

Emotet: новые способы распространения

Самое опасное в Emotet — это его приспосабливаемость. Троян использует самые различные способы заражения систем, например, поддельную электронную почту. Поскольку он делает это очень умело (например, он способен, используя сбор Outlook, подделывать письма от коллег по работе и друзей), то в течение длительного времени находится на верхних позициях в списке опасных программ всевозможных рейтингов.

Вредоносная программа, при необходимости, способна загружать банковские трояны, похитители паролей или другие модули. Далее идет распространение в активной сети, по крайней мере, до сих пор Emotet демонстрировал именно такое поведение. Но теперь анализ показывает, что на зараженных системах с Wi-Fi он также сканирует список доступных соседних беспроводных сетей, а затем пытается подключиться к ним. Для этого ему приходится систематически подбирать пароли из списка часто используемых.

Wi-Fi-атаки происходят уже два года?

В анализе трояна Emotet исследователи безопасности обнаружили два файла, которые в значительной степени отвечают за атаки на беспроводные сети. Файл worm.exe является основным компонентом и имеет временную метку от апреля 2018 года. Кроме того, в мае 2018 года он был впервые загружен на VirusTotal. Это свидетельствует о том, что распространение через Wi-Fi существует уже давно, но, вероятно, оно использовалось не слишком часто. Если вирус успешно подключается к чужому Wi-Fi, Emotet следует по своему стандартному пути и различными способами заражает системы в сети.

Чтобы точно защитить свой ПК от угроз, установите один из лучших антивирусов 2020 года, о которых мы рассказывали в отдельной статье.