Emotet

Emotet Kuvaus

emotet troijalainen hevonen Emotet aloitti pankki-troijalaisena noin viisi vuotta sitten, mutta on muuttunut niin paljon muuksi. Nykyään siitä on tullut yksi vaarallisimmista bottiverkoista ja haittaohjelmien pudottajista vuokrattavana maailmassa. Hyödyntääksesi hyökkäykset kokonaan, Emotet pudottaa usein uusia pankki-troijalaisia, sähköpostien kerääjiä, itse levitysmekanismeja, tietovarastajia ja jopa lunasohjelmia.

Turvallisuustutkijat totesivat, että Emotetin takana olevat uhkatoimijat ottivat kesäloman kesäkuusta 2019 alkaen, jolloin jopa komento- ja valvontatoiminta (C2) pysähtyivät. Kun kesäkuukaudet alkoivat saada tulosta, turvallisuustutkijat alkoivat kuitenkin nähdä Emotetin C2-infrastruktuurin aktiivisuuden lisääntyneen. Emotet on 16. syyskuuta 2019 alkaen jo täysin varustettuna elvyttämällä roskapostikampanjalla, joka luottaa sosiaaliseen tekniikkaan.

Emotet on suunnattu tietokoneen käyttäjille houkuttelevilla roskapostikampanjoilla

Yksi nerokkaimmista ja uhkaavimmista tavoista, joilla Emotet-tartunnan saaneet uhrit olivat varastetun sähköpostisisällön kautta. Haittaohjelma pyyhkäise uhrin postilaatikko ja kopioi olemassa olevat keskustelut, joita hän käyttää sitten omissa sähköposteissaan. Emotet lainaa todellisten viestien kokonaisuuden "vastauksessa" uhrin lukemattomaan sähköpostiviestiin, jotta hän huijaa heitä avaamaan haittaohjelmien sisältämän liitteen, yleensä Microsoft Word -asiakirjan varjolla.

Ei tarvita paljon mielikuvitusta nähdä, kuinka joku, joka odottaa vastausta meneillään olevaan keskusteluun, voidaan huijata tällä tavalla. Lisäksi jäljittelemällä olemassa olevia sähköpostikeskusteluja, mukaan lukien aito sähköpostisisältö ja Aiheotsikot, viesteistä tulee paljon satunnaistuneempia ja haastavampia suodattaa roskapostin vastaisten järjestelmien avulla.

Mielenkiintoista on, että Emotet ei käytä sähköpostia, josta se varasti sisällön, lähettääkseen sen mahdolliselle uhrille. Sen sijaan se lähettää nostetun keskustelun toiseen verkon robottiin, joka sitten lähettää sähköpostin aivan toisesta sijainnista käyttämällä täysin erillistä lähtevää SMTP-palvelinta.

Turvallisuustutkijoiden mukaan Emotet käytti varastettuja sähköpostikeskusteluja noin 8,5 prosentilla hyökkäysviesteistä ennen kesäkautta. Lomakauden päättymisen jälkeen tämä taktiikka on kuitenkin tullut entistä näkyvämmäksi, ja sen osuus on lähes neljäsosa Emotetin lähtevästä sähköpostiliikenteestä.

Cybercrooks käyttää Emotetia varastamaan henkilötietoja

Tietokoneiden henkilökohtaisia tietoja varastavien tietoverkkojen käytettävissä olevat työkalut ovat käytännössä rajattomat. Juuri niin tapahtuu, että Emotet on eräänlainen haittaohjelmauhka, joka hyödyntää erittäin tehokkaasti tapaa käynnistää massamähköposti-kampanjoita, jotka levittävät haittaohjelmia, joiden tarkoituksena on varastaa tietoja pahaa ajattelemattomalta tietokoneen käyttäjältä. Tapa, jolla Emotet toimii, on avata takaovi muille vaarallisille tietokoneuhkille, kuten Dridex-troijalainen hevonen, joka on erityisesti suunniteltu varastamaan tietoja tietokoneen käyttäjältä aggressiivisten tietojenkalastelumenetelmien avulla.

Kun oikean tyyppinen hakkeri tai verkkoyritys käyttää sitä, Emotetia voidaan käyttää tunkeutumaan tietokoneeseen useiden haittaohjelmauhkien lataamiseksi ja asentamiseksi. Tästä huolimatta lisäasennetut uhat voivat olla vaarallisempia, jos ne voivat muodostaa yhteyden hallinta- ja hallintapalvelimiin ladataksesi ohjeita tartunnan saaneessa järjestelmässä suoritettaviksi.

Emotetin vaikutuksia ei tule koskaan ottaa kevyesti

Kaikissa niin kauan ulottuvissa haittaohjelmauhoissa kuin Emotet, tietokoneiden käyttäjien on toteutettava tarvittavat varotoimenpiteet estääkseen hyökkäyksen sellaiselta. Kääntöpuolella Emotetin hyökkääjät haluavat löytää tarvittavan resurssin uhan turvalliseksi havaitsemiseksi ja poistamiseksi. Jos Emotetin annetaan ajaa tietokoneella pitkään, riski tietojen pilaantumisesta kasvaa räjähdysmäisesti.

Tietokoneen käyttäjät, jotka saattavat viivästyttää Emotetin poistamista tai toteuttaa tarvittavat varotoimet, asettavat tietokoneelleen tallennetut henkilötiedot vaaraan, mikä voi johtaa vakaviin ongelmiin, kuten henkilöllisyysvarkauksiin. Emotet on lisäksi vaikea havaita, mikä on prosessi, jonka suorittaa ensisijaisesti päivitetty ohjelmistovastainen resurssi tai sovellus.

Tietokoneen käyttäjien tulee aina olla varovainen avatessaan liitteitä sisältäviä sähköpostiviestejä, erityisesti sellaisia, jotka sisältävät liitteitä Microsoft Word -asiakirjojen muodossa. Emotetin tiedetään olevan menetelmä haittaohjelmien levittämiseksi.

Emotetin paluu

Yhdessä vaiheessa vuonna 2019 Emotetin komento- ja hallintapalvelimet sijoittivat ikkunat sulkemaan uhan tartuttamat järjestelmät vapaiksi ollakseen Emotetin takana olevien tekijöiden hallinnassa. Emotet palasi kuitenkin kuolleista pian, kun hakkerit eivät vain saavuttaneet Emotetin hallintaa, vaan käyttivät laillisia verkkosivustoja levittääkseen uhkan roskapostikampanjoiden avulla hakkeroimalla sivustot ensin.

Emotetin kehittäjät ovat ilmoittaneet kohdistuneen noin 66 000 sähköpostiosoitetta yli 30 000 verkkotunnukselle, monet niistä verkkotunnuksista, jotka kuuluvat laillisiin sivustoihin, jotka hakkeroitiin. Jotkut Emotetin luojat hyökkäävät laillisista sivustoista ovat seuraavat:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

Periaatteessa haittaohjelmainfektiot lisääntyvät varmasti ajan myötä. Kuten Cisco Talosin tutkijat huomauttivat: "Kun uhkaryhmä hiljenee, on epätodennäköistä, että he menevät ikuisesti", kehittelemällä: "Pikemminkin tämä avaa uhkaryhmälle mahdollisuuden palata uusien IOC: ien, taktiikoiden, tekniikoiden ja menettelytapoja tai uusia haittaohjelmavaihtoehtoja, jotka voivat välttää olemassa olevan havaitsemisen. "

Tekninen informaatio

Kuvakaappaukset & Muut Kuvat

Emotet Image 1 Emotet Image 2

Tiedostojärjestelmän yksityiskohdat

Emotet luo seuraavat tiedostot:
# Tiedoston Nimi Koko MD5 Tunnistusluku
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
Lisää tiedostoja

Rekisterin yksityiskohdat

Emotet luo seuraavat rekisterimerkinnät tai rekisterimerkinnät:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Sivuston vastuuvapauslauseke

Enigmasoftware.com ei ole tässä artikkelissa mainittujen haittaohjelmien luojaiden tai jakelijoiden yhdistämä, sidoksissa oleva, sponsoroima tai omistama. Tätä artikkelia EI saa erehtyä tai sekoittaa siihen, että se liittyy millään tavalla haittaohjelmien mainostamiseen tai tukemiseen. Tarkoituksenamme on tarjota tietoja, jotka kouluttavat tietokoneen käyttäjiä havaitsemaan ja lopulta poistamaan haittaohjelmat tietokoneeltasi SpyHunter ja/tai tässä artikkelissa annettujen manuaalisten poisto-ohjeiden avulla.

Tämä artikkeli on toimitettu "sellaisenaan", ja sitä käytetään vain opetustietoihin. Noudattamalla tämän artikkelin ohjeita hyväksyt vastuuvapauslausekkeen. Emme takaa, että tämä artikkeli auttaa sinua poistamaan tietokoneesi haittaohjelmauhat kokonaan. Vakoiluohjelmat vaihtuvat säännöllisesti; siksi on vaikea puhdistaa tartunnan saanut kone täysin käsin.

Jätä vastaus

ÄLÄ käytä tätä kommenttijärjestelmää tuki tai laskutuskysymyksiin. Jos haluat SpyHunter-teknisen tuen pyynnöt, ota yhteyttä suoraan teknisen tukitiimimme avaamalla asiakastukilippu SpyHunter-palvelun kautta. Katso laskutusongelmat “Laskutuskysymykset vai ongelmat” sivultamme. Yleiset tiedustelut (valitukset, oikeudelliset, lehdistö, markkinointi, tekijänoikeudet) ovat " Tiedustelut ja Palaute" sivulla.