Emotet

Emotet Opis

emotikon koń trojański Emotet zaczął jako trojan bankowy jakieś pięć lat temu, ale zmienił się w znacznie więcej. Obecnie stał się jednym z najniebezpieczniejszych botnetów i szkodliwych programów do wynajęcia na świecie. Aby w pełni zarabiać na atakach, Emotet często upuszcza nowe trojany bankowe, programy do zbierania wiadomości e-mail, mechanizmy autop propagacji, kradzieże informacji, a nawet oprogramowanie ransomware.

Badacze bezpieczeństwa zauważyli, że osoby odpowiedzialne za zagrożenie Emotet wzięły urlop letni, zaczynając od czerwca 2019 r., W którym nawet działania dowodzenia i kontroli (C2) zostały zatrzymane. Jednak wraz z końcem miesięcy letnich badacze bezpieczeństwa zaczęli zauważać wzrost aktywności infrastruktury C2 Emotet. Od 16 września 2019 r. Emotet jest już na pełnym biegu dzięki ożywionej kampanii spamowej, polegającej na inżynierii społecznej.

Emotet atakuje użytkowników komputerów poprzez zachęcające kampanie spamowe

Jednym z najbardziej pomysłowych i groźnych sposobów, za pomocą których ofiary zainfekowane Emotet były kradzione wiadomości e-mail. Złośliwe oprogramowanie przesuwa skrzynkę odbiorczą ofiary i kopiuje istniejące rozmowy, które następnie wykorzystuje we własnych wiadomościach e-mail. Emotet zacytuje treść prawdziwych wiadomości w „odpowiedzi” na nieprzeczytany e-mail ofiary, aby nakłonić ją do otwarcia załącznika zawierającego złośliwe oprogramowanie, zwykle pod postacią dokumentu Microsoft Word.

Nie trzeba wiele wyobraźni, aby zobaczyć, jak ktoś, kto oczekuje odpowiedzi na trwającą rozmowę, może zostać oszukany w ten sposób. Ponadto, naśladując istniejące rozmowy e-mail, w tym oryginalne treści e-mail i nagłówki tematów, wiadomości stają się znacznie bardziej losowe i trudne do filtrowania według systemów antyspamowych.

Co ciekawe, Emotet nie używa wiadomości e-mail, z której ukradł zawartość, aby wysłać ją do potencjalnej ofiary. Zamiast tego wysyła zniesioną rozmowę do innego bota w sieci, który następnie wysyła wiadomość e-mail z zupełnie innej lokalizacji, używając całkowicie oddzielnego wychodzącego serwera SMTP.

Według badaczy bezpieczeństwa, Emotet wykorzystał skradzione rozmowy e-mail w około 8,5 procentach wiadomości o ataku przed przerwą letnią. Jednak od zakończenia sezonu wakacyjnego ta taktyka stała się bardziej widoczna, stanowiąc prawie jedną czwartą całego ruchu poczty wychodzącej Emotet.

Cyberprzestępcy wykorzystują Emotet do kradzieży danych osobowych

Narzędzia do dyspozycji cyberprzestępców, którzy chcą kraść dane osobowe z komputerów, są praktycznie nieograniczone. Tak się składa, że Emotet jest rodzajem zagrożenia złośliwym oprogramowaniem, które bardzo skutecznie wykorzystuje w celu uruchamiania masowych kampanii spamowych, które rozprzestrzeniają złośliwe oprogramowanie zaprojektowane w celu kradzieży danych od niczego niepodejrzewającego użytkownika komputera. Sposób, w jaki działa Emotet, polega na otwarciu backdoora dla innych zagrożeń komputerowych wysokiego ryzyka, takich jak koń trojański Dridex, który został specjalnie zaprojektowany do kradzieży danych od użytkownika komputera przy użyciu agresywnych technik phishingowych.

Emotet, jeśli jest używany przez odpowiedni typ hakera lub cyberprzestępcy, może być wykorzystywany do infiltracji komputera w celu załadowania i zainstalowania wielu zagrożeń złośliwym oprogramowaniem. Mimo to dodatkowo zainstalowane zagrożenia mogą być bardziej niebezpieczne, gdy mogą łączyć się z serwerami dowodzenia i kontroli (C&C) w celu pobrania instrukcji dotyczących wykonania w zainfekowanym systemie.

Nigdy nie należy lekceważyć działania Emotet

W każdym przypadku zagrożenia złośliwym oprogramowaniem tak daleko sięgającym jak Emotet użytkownicy komputerów powinni podjąć niezbędne środki ostrożności, aby zapobiec atakowi. Z drugiej strony ci, którzy zostali zaatakowani przez Emotet, będą chcieli znaleźć zasoby niezbędne do bezpiecznego wykrycia i wyeliminowania zagrożenia. Jeśli pozwoli się Emotetowi działać na komputerze przez długi czas, ryzyko wykładniczego gromadzenia danych rośnie wykładniczo.

Użytkownicy komputerów, którzy mogą opóźnić się w wyeliminowaniu Emotet lub podjęciu odpowiednich środków ostrożności, narażą swoje dane osobowe przechowywane na komputerze, co może prowadzić do poważnych problemów, takich jak kradzież tożsamości. Ponadto Emotet jest trudnym do wykrycia zagrożeniem, które jest procesem wykonywanym przede wszystkim przez zaktualizowany zasób lub aplikację antymalware.

Przez cały czas użytkownicy komputerów powinni zachować ostrożność podczas otwierania wiadomości e-mail z załącznikami, zwłaszcza tymi, które zawierają załączniki w postaci dokumentów Microsoft Word, o których wiadomo, że jest to metoda wykorzystywana przez Emotet do rozprzestrzeniania złośliwego oprogramowania.

Powrót Emotet

W pewnym momencie w 2019 r. Serwery dowodzenia i kontroli Emotet zamknęły się, pozostawiając systemy zainfekowane zagrożeniem bez kontroli nad sprawcami za Emotet. Jednak niedługo po zamknięciu serwerów C&C Emotet powrócił z martwych, gdzie hakerzy nie tylko przejęli kontrolę nad Emotet, ale wykorzystują legalne strony internetowe do rozprzestrzeniania zagrożenia poprzez kampanie spamowe, najpierw hakując strony.

Deweloperzy Emotet mają podobno zaatakować około 66 000 adresów e-mail dla ponad 30 000 nazw domen, z których wiele należy do legalnych witryn, które zostały zhakowane. Niektóre z legalnych witryn zaatakowanych przez twórców Emotet są następujące:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

Zasadniczo obserwujemy wzrost liczby infekcji złośliwym oprogramowaniem w miarę upływu czasu. Jak zauważyli naukowcy z Cisco Talos: „Gdy grupa zagrożeń milczy, jest mało prawdopodobne, że zniknie na zawsze”, rozwijając: „Raczej otwiera to szansę grupie powrotu z nowymi MKOl, taktykami, technikami i procedury lub nowe warianty złośliwego oprogramowania, które mogą uniknąć istniejącego wykrywania ”.

Specyfikacja

Zrzuty ekranu i inne obrazy

Emotet Image 1 Emotet Image 2

Szczegóły systemu plików

Emotet tworzy następujące pliki:
# Nazwa pliku Rozmiar MD5 Liczba detekcji
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 C:\Windows\Temp\BA1E.tmp\BA1E.tmp 159,744 b25ec6e225cf6247dcb3810470ae86b7 6
14 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
15 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe Nie dotyczy
30 C:\Windows\System32\46615275.exe Nie dotyczy
31 C:\Windows\System32\shedaudio.exe Nie dotyczy
32 C:\Windows\SysWOW64\f9jwqSbS.exe Nie dotyczy
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe Nie dotyczy
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe Nie dotyczy
Więcej plików

Szczegóły rejestru

Emotet tworzy następujące wpisy rejestru lub wpisy rejestru:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Oświadczenie o stronie

Enigmasoftware.com nie jest powiązana, stowarzyszona, sponsorowana ani nie jest własnością twórców lub dystrybutorów złośliwego oprogramowania wymienionych w tym artykule. Ten artykuł NIE powinien być mylony ani mylony w związku z promocją lub promowaniem złośliwego oprogramowania. Naszym celem jest dostarczenie informacji, które nauczą użytkowników komputerów, jak wykrywać i ostatecznie usuwać złośliwe oprogramowanie ze swojego komputera za pomocą SpyHunter i/lub instrukcji ręcznego usuwania zawartych w tym artykule.

Ten artykuł jest dostarczany „tak, jak jest” i może być wykorzystywany wyłącznie do celów edukacyjnych. Postępując zgodnie z instrukcjami zawartymi w tym artykule, wyrażasz zgodę na związanie się zrzeczeniem odpowiedzialności. Nie dajemy żadnych gwarancji, że ten artykuł pomoże Ci całkowicie usunąć zagrożenia złośliwym oprogramowaniem na twoim komputerze. Programy szpiegujące zmieniają się regularnie; dlatego trudno jest całkowicie wyczyścić zainfekowaną maszynę ręcznie.

Zostaw odpowiedź

NIE używaj tego systemu komentarzy do pytań wsparcia lub rozliczeniowych. W sprawie wniosków o pomoc techniczną SpyHunter, skontaktuj się bezpośrednio z naszym zespołem pomocy technicznej, otwierając bilet pomocy technicznej za pośrednictwem SpyHunter. W przypadku problemów z rozliczeniami zapoznaj się z naszą stroną „Pytania lub problemy z rozliczeniami?”. Ogólne zapytania (skargi, sprawy prawne, prasa, marketing, prawa autorskie) znajdują się na naszej stronie „Zapytania i opinie”.


HTML is not allowed.