Emotet：如何识别木马病毒并保护自己免受侵害

Emotet 是一种计算机恶意软件，最初是作为所谓的银行木马病毒开发的。其目的是渗透到其他人的设备中，以窃取敏感的私人数据。Emotet 能够欺骗和规避普通的防病毒程序。一旦设备被感染，该恶意软件会像计算机蠕虫病毒一样传播，并试图渗透到网络中的其他计算机。

Emotet 主要通过垃圾电子邮件传播。电子邮件包含恶意链接或受感染的文档，其中包含激活的宏。如果您下载文档或打开链接，则其他恶意软件会自动下载到您的计算机上。这些电子邮件看起来非常可靠。

术语 Emotet

Emotet 于 2014 年被首次发现，当时，德国和奥地利银行的客户受到该木马病毒的影响。Emotet 已可访问客户的登录数据。在随后的几年里，该恶意软件得以在全球范围内传播。

从那时起，Emotet 已经从一种银行木马病毒，发展成了一种投放工具，这意味着，该木马病毒会加载恶意软件。此恶意软件是造成系统实际损坏的原因。在大多数情况下，涉及的程序包括下列几种：

Trickbot：一种银行木马病毒，它试图访问银行帐户的登录数据。
Ryuk：一种加密木马病毒 - 也称为加密木马或勒索软件，它可对数据进行加密，并通过这种方式阻止计算机用户访问这些数据，或锁定整个系统。

Emotet 背后的网络犯罪分子的目标通常是从受害者那里勒索金钱。例如，它们威胁要公布加密的数据，或永远封锁这些数据。通常情况下，Emotet 涉及到从感染、额外下载恶意软件以及传播该恶意软件的整个过程。

谁是 Emotet 的目标？

个人、公司、组织和公共机构。2018 年，菲斯滕费尔德布鲁克临床中心在被 Emotet 感染后，不得不关闭 450 台计算机并从紧急协调中心注销。还有，2019 年 9 月，柏林上诉法院 (Kammergericht) 遭到感染，随后，吉森大学也在 2019 年 12 月遭到感染。

汉诺威医学院和美因河畔法兰克福市政府也被 Emotet 感染。遭到感染的公司数量估计还有很多。据推测，许多受感染的公司不愿意报告感染情况，因为担心他们的声誉受到影响，以及遭受进一步的攻击。

在 Emotet 的早期，它主要针对公司，但现在，该木马病毒主要针对个人。

哪些设备面临 Emotet 风险？

最初，仅在较新版本的 Microsoft Windows 操作系统中检测到 Emotet 感染。然而，在 2019 年初，人们发现 Apple 生产的计算机也受到了 Emotet 的影响。攻击者使用一封发自 Apple 支持部门的虚假电子邮件引诱用户进入陷阱，声称该公司“限制您访问您的客户帐户”。该电子邮件还告诉用户，他们应该访问一个链接以防止停用和删除某些 Apple 服务。

Emotet 木马病毒如何传播

Emotet 主要通过所谓的 Outlook 收割进行传播。该木马病毒可读取感染用户的电子邮件，并创建具有欺骗性的真实内容。这些电子邮件看似可信，并且包含个性化内容，因此与普通的垃圾电子邮件不同。Emotet 会将这些网络钓鱼电子邮件转发给已保存的联系人，如您的朋友、家人、同事或老板。

这些邮件通常包含一个需要下载且被感染的 Word 文档，或一个危险链接。发件人显示的总是正确的姓名。因此，收件人会陷入一种错误的安全感，因为一切看起来都像是您发出的正常个人邮件，因此，他们很有可能点击危险的链接或已感染的附件。

Emotet 一旦进入网络，就能进行进一步传播。在这样做的时候，它试图使用暴力破解法来破解您的帐户密码。Emotet 的其他传播方式包括 Windows 上的 EternalBlue 安全漏洞和 DoublePulsar 漏洞，这些漏洞允许在无需人工干预的情况下安装恶意软件。2017 年， WannaCry 勒索木马病毒能够利用 EternalBlue 漏洞执行严重的网络攻击并造成破坏。

Emotet：恶意软件基础架构被捣毁

2021 年 1 月底，法兰克福美因河畔总检察院 - 负责打击互联网犯罪的中央办公室 (CIT) - 和联邦刑事办公室 (FCO) 宣布，作为国际协同举措的一部分，Emotet 基础架构已被“接管和捣毁”。来自德国、荷兰、乌克兰、法国和立陶宛，以及英国、加拿大和美国的执法机构参与了这次行动。

这些机构声称，他们停用了 100 多台 Emotet 基础架构服务器，其中，仅在德国就有 17 台。这仅仅只是追踪行动的开始。FCO 收集了数据，经过进一步分析，在全欧洲找到了更多的服务器。

据 FCO 称，Emotet 恶意软件的基础架构已被捣毁并且不再具有危害。乌克兰的机构得以接管该基础架构，此外还没收了一些计算机、硬盘、资金和金条。整个行动由欧洲刑警组织和欧洲司法组织（欧盟刑事事务司法合作机构）负责协调。

通过控制 Emotet 的基础架构，主管机构能够使受影响的德国受害者系统上的恶意软件无法被犯罪者所利用。为了防止他们重新获得控制权，特别工作组在受影响的受害者系统上隔离了该恶意软件。此外，他们还调整了软件的通信参数，使其能够与一个专门为保存证据而设置的基础架构进行通信。在此过程中，主管机构获得了受影响的受害者系统的信息，比如公共 IP 地址。这些数据已传输给 BSI。

谁是 Emotet 的幕后黑手？

联邦信息安全办公室 (FIS) 认为，“Emotet 的开发人员将其软件和基础架构转租给第三方”。他们转而依靠其他恶意软件来实现自己的目标。BSI 认为，犯罪分子的动机是谋财，问题在于网络犯罪，而不是间谍活动。

对于谁是幕后黑手这个问题，似乎没有人有答案。有传言称，它源自俄罗斯或东欧，但没有有力的证据来支持这一观点。

Emotet：极具破坏性的恶意软件

美国国土安全局认为，Emotet 是一种造成代价特别高的软件，具有巨大的破坏力。每次事件的清理费用估计约为一百万美元。因此，联邦信息安全办公室 (FIS) 的负责人 Arne Schönbohm 将 Emotet 称为“恶意软件之王”。

毫无疑问，Emotet 是史上最复杂、最危险的恶意软件程序之一。该恶意软件是多态的，这意味着，每次访问它时，其代码都会稍有变化。这使防病毒软件很难识别该恶意软件，因为许多防病毒程序都执行基于签名的搜索。2020 年 2 月，来自 Binary Search 的安全研究人员发现，Emotet 现在也会攻击 Wi-Fi 网络。如果受感染的设备接入无线网络，Emotet 会扫描附近的所有无线网络。然后，恶意软件使用密码列表尝试访问网络，从而感染其他设备。

网络犯罪分子喜欢利用人们的恐惧心理。因此，毫不意外，自 2019 年 12 月以来在世界范围内传播的新冠病毒恐惧也被 Emotet 所利用。该木马病毒背后的网络犯罪分子经常伪造电子邮件，声称可以提供有关新冠疫情的信息并提供公众教育。如果您在收件箱中找到这样的电子邮件，请特别注意电子邮件中的任何附件或链接！

如何防范 Emotet？

在防御 Emotet 和其他木马病毒时，仅依靠防病毒程序是不够的。毕竟，对于最终用户来说，检测多态恶意软件仅仅是他们面临的第一个问题。很简单，没有任何解决方案能够提供 100% 的保护，以防止 Emotet 或任何其他可改变的木马病毒。仅通过采用预防性的组织和技术措施，就可以将感染的风险降到最低。以下是您应该采取的预防措施，以保护自己免受 Emotet 的影响：

保持最新版本！定期了解有关 Emotet 主题的发展情况。有几种方法可以做到这一点，比如 BSI 新闻通讯、Kaspersky 的新闻通讯或开展自己的研究。
安全更新：确保尽快安装制造商提供的更新，以消除可能存在的安全漏洞。这适用于 Windows 和 macOS 等操作系统以及任何应用程序、浏览器、浏览器插件、电子邮件客户端、Office 程序和 PDF 程序。
防病毒软件：确保安装防病毒程序，比如 Kaspersky Internet Security，并让它定期扫描你的计算机，以发现漏洞。这将为您提供最佳防护，以抵御最新的病毒、间谍软件等在线威胁。
不要从电子邮件中下载可疑附件，也不要单击可疑链接。如果您不确定电子邮件是否是假冒的，请不要冒任何风险 - 请联系据称发送邮件的人！如果您在下载文件时，系统要求您允许执行一个宏，则在任何情况下都不要这样做。相反，应立即删除该文件。这样一来，您从一开始就不会给 Emotet 访问计算机的机会。
备份：定期在外部数据载体上备份您的数据。如果发生感染，您将始终可以使用备份进行恢复，并且不会丢失 PC 上的所有数据。
密码：仅为所有登录（在线银行、电子邮件帐户、在线交易）使用强密码。换句话说，不要使用第一只狗的名字作为密码，而是使用字母、数字和特殊字符的随机排列组合。您可以自己创建这些密码，或者使用密码管理器等程序来生成密码。此外，许多程序现在提供双因素身份验证选项。
文件扩展名：确保文件扩展名默认显示在您的计算机上。这将有助于您识别可疑的文件，比如“Vacation snap123.jpg.exe”。

如何移除 Emotet？

最重要的一点：如果您怀疑您的计算机可能感染了 Emotet，请不要惊慌！向您周围的人告知感染情况，因为您的电子邮件联系人和其他连接到您的网络的设备也面临潜在的风险。

接下来，如果计算机连接到网络，请务必隔离计算机，以降低 Emotet 传播的风险。然后，您应该更改您的帐户的所有访问数据，即电子邮件帐户、Web 浏览器，等等。

由于 Emotet 恶意软件是多态的，其代码在每次访问时总是略有变化，因此，只要连接到受感染的网络，清理过的计算机就会迅速被重新感染。因此，您必须逐个清理所有连接到网络的计算机。使用防病毒程序执行此操作。您也可以联系专家，比如您的防病毒软件的供应商。

EmoCheck：该工具真的有助于抵御 Emotet 吗？

日本 CERT（计算机紧急响应小组）已经发布了 EmoCheck 工具，您可以用它来检查您的计算机是否被 Emotet 感染。提示：使用该工具以检测已知版本的 Emotet 可能造成的感染。但是，要小心！由于 Emotet 是多态的，因此，甚至 EmoCheck 也无法 100% 保证您的计算机没有被感染。EmoCheck 使用了一种识别特征字符串的方法，从而向您发出木马病毒警告。然而，恶意软件的可变化性意味着，无法保证您的计算机完全没有被感染。

关于 Emotet 的总结

Emotet 木马病毒是 IT 史上最危险的恶意软件之一。每个人都会受到影响：个人、公司，甚至是公共机构。一旦该木马病毒渗透到系统中，它就会加载其他恶意软件，以窃取访问凭据并加密数据。通常情况下，该恶意软件的受害者会被勒索赎金以取回他们的数据。不幸的是，没有解决方案能够提供 100% 的防护以抵御 Emotet 感染。但是，通过采取各种措施，您可以降低感染的风险。如果您怀疑您的计算机感染了 Emotet，您应该启动上述措施来清除您计算机中的 Emotet。