Emotetas

Emotetas Description

Emocijos Trojos arklys Emotetas pradėjo veikti kaip bankininkystės troja prieš kokius penkerius metus, bet tapo dar daugiau. Šiais laikais jis tapo vienu pavojingiausių nuomojamų robotų ir kenkėjiškų programų lazerių pasaulyje. Norėdami visiškai užsidirbti iš atakų, „Emotet“ dažnai numeta naujus bankinius trojanus, el. Pašto kombainus, savaiminio platinimo mechanizmus, informacijos platintojus ir net išpirkos programas.

Saugumo tyrėjai pažymėjo, kad grėsmę keliantys asmenys, esantys už „Emotet“, ėmėsi vasaros atostogų, kurios prasidėjo 2019 m. Birželio mėn., Per kurias buvo sustabdyta net vadovavimo ir kontrolės (C2) veikla. Vasaros mėnesiams pradėjus aiškintis, saugumo tyrinėtojai pradėjo pastebėti, kad padidėjo „Emotet“ C2 infrastruktūros aktyvumas. Nuo 2019 m. Rugsėjo 16 d. „Emotet“ jau dirba visu pajėgumu, gavusi atnaujintą šlamšto kampaniją, remdamasi socialine inžinerija.

Emotetas nukreipia kompiuterio vartotojus į viliojančias šlamšto el. Pašto kampanijas

Vienas išradingiausių ir grėsmingiausių būdų, kuriais „Emotet“ užkrėtė aukas, buvo pavogtas el. Pašto turinys. Kenkėjiška programinė įranga perbrauktų aukos gautuosius ir nukopijuotų esamus pokalbius, kuriuos ji panaudos savo el. Laiškuose. Emocija cituoja tikrų pranešimų rinkinius „atsakyme“ į neskaitytą aukos el. Laišką, norėdama apgauti juos, kad atidarytų kenkėjiškų programų priedą, paprastai tai daro „Microsoft Word“ dokumentas.

Nereikia daug vaizduotės, kad pamatytumėte, kaip tokiu būdu gali būti apgautas kas nors, laukiantis atsakymo į vykstantį pokalbį. Be to, imituodami esamus el. Pašto pokalbius, įskaitant autentišką el. Pašto turinį ir Temų antraštes, pranešimai tampa daug labiau atsitiktiniai ir sudėtingesni filtruoti naudojant anti-spam sistemas.

Įdomu tai, kad „Emotet“ nenaudoja el. Laiško, iš kurio pavogė turinį, kad nusiųstų jį potencialiai aukai. Vietoj to, jis nusiunčiamą pokalbį siunčia kitam tinklo robotui, kuris el. Laišką siunčia iš visiškai kitos vietos, naudodamas visiškai atskirą siunčiamą SMTP serverį.

Pasak saugumo tyrinėtojų, „Emotet“ panaudojo pavogtus el. Pašto pokalbius maždaug 8,5 proc. Išpuolių pranešimų prieš vasaros pertrauką. Tačiau kadangi atostogų sezonas baigėsi, ši taktika tapo ryškesnė ir sudarė beveik ketvirtadalį viso „Emotet“ siunčiamo el. Pašto srauto.

„Cybercrooks“ pasitelkia Emotetą pavogti asmeninius duomenis

Kibernetinių tinklalapių, kuriomis siekiama pavogti asmeninę informaciją iš kompiuterių, įrankių yra beveik begalė. Tiesiog taip atsitinka, kad „Emotet“ yra kenkėjiškų programų grėsmės rūšis, kuri yra labai efektyvi panaudojant masinio šlamšto el. Pašto kampanijas, kurios platina kenkėjiškas programas, skirtas pavogti duomenis iš nieko neįtariančio kompiuterio vartotojo. Emotet darbas yra būdas atverti duris kitoms didelės rizikos kompiuterinėms grėsmėms, tokioms kaip Trojos arklys „Dridex“, kuris yra specialiai skirtas pavogti kompiuterio vartotojo duomenis, naudojant agresyvias sukčiavimo metodus.

Kai „Emotet“ naudoja tinkamo tipo įsilaužėlis ar elektroninis srautas, jis gali būti naudojamas įsiskverbti į kompiuterį, kad būtų galima įkelti ir įdiegti kelias kenkėjiškų programų grėsmes. Nepaisant to, papildomai įdiegtos grėsmės gali būti pavojingesnės ten, kur jos gali prisijungti prie komandų ir valdymo (C&C) serverių, kad atsisiųstų instrukcijas užkrėstoje sistemoje.

Emotet poveikis niekada neturėtų būti vertinamas švelniai

Bet kokiu masto kenkėjiškos programinės įrangos, kaip „Emotet“, grėsmės atveju kompiuterio vartotojai turėtų imtis būtinų atsargumo priemonių, kad būtų išvengta tokios atakos. Apskritai, tie, kuriuos užpuolė „Emotet“, norės rasti reikalingus išteklius, kad saugiai aptiktų ir pašalintų grėsmę. Jei „Emotet“ leidžiama ilgą laiką veikti kompiuteryje, rizika, kad bus pažeisti duomenys, padidės eksponentiškai.

Kompiuterių vartotojams, kurie gali atidėlioti „Emotet“ pašalinimą ar imtis tinkamų atsargumo priemonių, iškils pavojus jų asmeniniame kompiuteryje saugomiems duomenims, kurie gali sukelti rimtų problemų, tokių kaip tapatybės vagystė. Be to, „Emotet“ yra sudėtinga aptikti grėsmę, o tai yra procesas, kurį visų pirma atlieka atnaujintas antimalware šaltinis ar programa.

Visada kompiuterių vartotojai turėtų atidžiai naudoti atidarydami el. Laiškus su priedais, ypač tuos, kuriuose yra priedų „Microsoft Word“ dokumentų pavidalu. Tai yra būdas, kurį „Emotet“ naudoja kenkėjiškų programų platinimui.

Emotet sugrįžimas

Vienu 2019 m. Momentu „Emotet“ komandos ir valdymo serveriai uždarė palikdami grėsmės užkrėstas sistemas, kad jos nebūtų kontroliuojamos už „Emotet“ nusikaltėlių. Tačiau ne per greitai po to, kai buvo išjungti C&C serveriai, „Emotet“ grįžo iš numirusių, kur įsilaužėliai ne tik įgijo „Emotet“ valdymą, bet ir naudojasi teisėtomis interneto svetainėmis, siekdami skleisti grėsmę per šlamšto kampanijas, pirmiausia nulauždami svetaines.

Pranešama, kad „Emotet“ kūrėjai nukreipė maždaug į 66 000 el. Pašto adresų, skirtų daugiau nei 30 000 domenų vardų, daugelį tų domenų, priklausančių teisėtoms svetainėms, į kuriuos buvo įsilaužta. Kai kurios iš teisėtų svetainių, kurias užpuolė „Emotet“ kūrėjai, yra šios:

  • biyunhui [.] kom
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • kliento noras [.] lt
  • holyurbanhotel [.] com
  • keikomimura [.] kom
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taksolapai [.] lt
  • galvoti1 [.] com

Iš esmės pastebėsime, kad kenkėjiškų programų infekcijų padaugės, nes laikui bėgant. Kaip pažymėjo „Cisco Talos“ tyrėjai: „Kai grėsmės grupė nutils, mažai tikėtina, kad jų nebeliks amžiams“, patikslindama: „Atvirkščiai, tai atveria galimybę grėsmės grupei sugrįžti su naujomis IOC, taktikomis, metodais ir procedūras ar naujus kenkėjiškų programų variantus, kurie gali išvengti esamo aptikimo “.

Technical Information

Screenshots & Other Imagery

Emotetas Image 1 Emotetas Image 2

File System Details

Emotetas creates the following file(s):
# File Name Size MD5 Detection Count
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
More files

Registry Details

Emotetas creates the following registry entry or registry entries:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Site Disclaimer

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

Leave a Reply

Please DO NOT use this comment system for support or billing questions. For SpyHunter technical support requests, please contact our technical support team directly by opening a customer support ticket via your SpyHunter. For billing issues, please refer to our "Billing Questions or Problems?" page. For general inquiries (complaints, legal, press, marketing, copyright), visit our "Inquiries and Feedback" page.