什么是 Emotet?
Emotet 是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。众所周知,Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。
Emotet 主要通过垃圾电子邮件传播。相应的电子邮件包含恶意链接或受感染的文档。如果您下载文档或打开链接,则其他恶意软件会自动下载到您的计算机上。这些电子邮件看起来非常真实,因此 Emotet 的受害者为数众多。
Emotet - 术语和定义
Emotet 于 2014 年被首次发现,当时,德国和奥地利银行的客户受到该木马病毒的影响。Emotet 获得了访问客户登录数据的权限。在接下来的几年中,该病毒在全球传播。
Emotet 从银行木马病毒演变为了投放工具,这意味着,该木马病毒会进一步将其他恶意软件加载到设备上。这些恶意软件是造成系统实际损坏的原因。
在大多数情况下,“投放”的程序包括下列几种:
- Trickster(也称为 TrickLoader 和 TrickBot):这是一种银行木马病毒,它试图获取对银行账户登录数据的访问权限。
- Ryuk :一种加密木马病毒 - 也称为 Cryptotrojan 或勒索软件 - 它会对数据加密,从而阻止计算机用户访问此数据或整个系统。
Emotet 背后的网络犯罪分子的目标通常是从受害者那里勒索金钱。例如,他们威胁受害者,他们将公开或发布他们可以访问的加密数据。
Emotet 以谁作为目标?
Emotet 的目标是个人以及公司、企业和权威机构。2018 年,德国的 Fuerstenfeldbruck 医院在感染 Emotet 之后,不得不关闭 450 台计算机并从救援控制中心注销以控制感染。2019 年 9 月,柏林上诉法院受到影响,2019 年 12 月,吉森大学受到影响。汉诺威医科大学和美因河畔法兰克福市政府也被 Emotet 感染。
这些只是遭受 Emotet 感染的其中几个例子,未披露的受影响公司的数量估计会更多。估计很多被感染的公司不想报告他们发生的数据泄露,害怕损害他们的声誉。
还需要记住的是,虽然在早期 Emotet 主要针对公司和企业,但该木马病毒现在主要针对个人。
哪些设备面临 Emotet 风险?
最初,仅在较新版本的 Microsoft Windows 操作系统中检测到 Emotet 感染。但是,在 2019 年初,人们发现,Apple 制造的计算机也受到 Emotet 影响。犯罪分子利用发自 Apple 支持部门的虚假电子邮件诱使用户掉入陷阱。他们声称,如果您不回复,该公司将“限制您访问您的帐户”。然后,他们要求受害者访问一个链接,以防止他们的 Apple 服务被停用和删除。
Emotet 木马病毒如何传播?
Emotet 主要通过所谓的 Outlook 收割进行分发。该木马病毒会读取已被感染的用户的电子邮件,并创建看似十分逼真的欺骗性内容。这些电子邮件看似合法,并且包含个性化内容,因此与普通的垃圾电子邮件不同。Emotet 将这些网络钓鱼电子邮件发送给已存储的联系人,例如朋友、家人和同事。
大多数情况下,电子邮件中包含收件人会下载的受感染 Word 文档或危险链接。发件人显示的总是正确的姓名。因此,收件人会误以为邮件是安全的:因为无论从哪个角度来看,这都像是一封合法的电子邮件。然后,他们(在大多数情况下)会单击危险链接或下载受感染的附件。
Emotet 一旦访问网络,便可以传播。在此过程中,它将尝试使用暴力破解方法破解帐户密码。Emotet 的其他传播方式包括 Windows 上的 EternalBlue 漏洞和 DoublePulsar 漏洞,这些漏洞允许在无需人工干预的情况下安装恶意软件。2017 年,勒索木马病毒 WannaCry 利用 EternalBlue 漏洞开展了一次大型网络攻击,造成了毁灭性的破坏。
谁是 Emotet 的幕后黑手?
德国联邦信息安全局 (BSI) 认为,
“Emotet 的开发人员正在将其软件和基础设施出租给第三方”。
他们还依靠其他恶意软件来实现自己的目标。BSI 认为,犯罪分子是出于经济动机,因此将这视为网络犯罪,而非间谍活动。不过,似乎还没有人明确知道究竟谁才是 Emotet 的幕后黑手。关于该病毒的发源国家/地区的传闻有很多,但没有可靠的证据。
Emotet 有多危险?
美国国土安全部得出的结论是,Emotet 是一款会造成高昂代价的软件,具有强大的破坏力。每次事件的清理费用估计约为一百万美元。因此,德国联邦信息安全局 (BSI) 负责人 Arne Schoenbohm 将 Emotet 称为“恶意软件之王”。
毫无疑问,Emotet 是史上最复杂、最危险的恶意软件之一。该病毒是多态的,这意味着,每次访问它时,其代码都会稍有变化。
这使防病毒软件很难识别该病毒:许多防病毒程序都执行基于签名的搜索。2020 年 2 月,来自 Binary Search 的安全研究人员发现,Emotet 现在也会攻击 Wi-Fi 网络。如果受感染的设备接入无线网络,Emotet 会扫描附近的所有无线网络。然后,病毒使用密码列表尝试访问网络,从而感染其他设备。
网络犯罪分子喜欢利用人们的恐惧心理。因此,毫不意外,自 2019 年 12 月以来在世界范围内传播的新冠病毒恐惧也被 Emotet 所利用。该木马背后的网络犯罪分子经常伪造电子邮件,这些电子邮件假装是在提供新冠病毒相关资讯并为公众提供教育。因此,如果您在收件箱中找到这样的电子邮件,请特别注意电子邮件中的任何附件或链接。
如何防范 Emotet?
在防御 Emotet 和其他木马病毒时,仅依靠防病毒程序是不够的。检测多态病毒只是最终用户的第一步。根本没有解决方案可以提供 100% 的防护,以阻止 Emotet 或其他不断变化的木马病毒。只有采取组织和技术措施,才能将感染的风险降到最低。
以下是一些保护自己免受 Emotet 侵害的技巧:
- 了解最新动态。定期了解有关 Emotet 的进一步发展。有多种方法可以实现这一目标,例如阅读 卡巴斯基资源中心上的资讯或自行研究。
- 安全更新:必须尽快安装制造商提供的更新,以修复可能的安全漏洞。这适用于 Windows 和 macOS 等操作系统以及任何应用程序、浏览器、浏览器插件、电子邮件客户端、Office 和 PDF 程序。
- 病毒防护:请确保安装完整的病毒和恶意软件防护程序,例如 卡巴斯基安全软件,并定期扫描计算机中的漏洞。这将为您提供最佳防护,以抵御最新的病毒、间谍软件等威胁。
- 不要从电子邮件中下载可疑附件,也不要单击可疑链接。如果不确定电子邮件是否是伪造的,请不要冒险并与发件人联系。如果要求您允许宏在下载的文件上运行,则在任何情况下都不要这样做,您应立即删除该文件。这样,您从一开始就不会给 Emotet 访问计算机的机会。
- 定期将数据备份到外部存储设备。如果发生感染,您将始终可以使用备份进行恢复,并且不会丢失设备上的所有数据。
- 仅为所有登录(在线银行、电子邮件帐户、在线商店)使用强密码。这意味着,不要使用第一只狗的名字作为密码,而是使用字母、数字和特殊字符的随机排列组合。您可以自己创建这些密码,也可以由各种程序生成。另外,当今许多程序都提供了双因子身份验证。
- 文件扩展名:默认情况下,让您的计算机显示文件扩展名。这使您能够检测到“Photo123.jpg.exe”之类的可疑文件,这些文件往往是恶意程序。
如何移除 Emotet?
首先,如果您怀疑您的 PC 可能感染了 Emotet,请不要惊慌。向您的个人社交圈子告知此感染,因为您的电子邮件联系人面临潜在的风险。
接下来,如果计算机连接到网络,请务必隔离计算机,以降低 Emotet 传播的风险。随后,您应该更改所有帐户(电子邮件帐户、Web 浏览器等)的所有登录数据。请在未受感染或未连接到同一网络的单独设备上执行此操作。
由于 Emotet 是多态的(意味着每次访问时,它的代码都会稍有更改),因此,如果已清理的计算机连接到受感染的网络,则可能会被快速重新感染。因此,您必须逐个清理所有连接到网络的计算机。使用防病毒程序以帮助您执行此操作。或者,您也可以联系专家(例如您的防病毒软件提供商)以获取指导和帮助。
EmoCheck:该工具真的有助于抵御 Emotet 吗?
日本 CERT(计算机紧急响应团队)已经发布了一个名为 EmoCheck 的工具,该工具声称可用于检查计算机中是否存在 Emotet 感染。但是,由于 Emotet 是多态的,因此 EmoCheck 无法 100% 保证您的计算机没有被感染。
EmoCheck 的作用是检测典型的字符串并警告您存在潜在的木马病毒。但是,病毒的可变性导致该工具并不能保证您的计算机真正干净 - 这一点值得牢记。
结语
木马病毒 Emotet 实际上是网络安全历史上最危险的恶意软件之一。任何人都可能成为受害者 - 个人、公司甚至全球权威机构。因为木马一旦渗透到系统中,就会重新加载其他间谍软件来监视您。
为了收回数据,许多受 Emotet 攻击的受害者经常被勒索赎金。不幸的是,没有解决方案能够提供 100% 的防护以抵御 Emotet 感染。但是,可以采取几种措施来降低感染风险。
如果您怀疑您的计算机感染了 Emotet,则应采取本文所述的措施来清理计算机,并确保您使用全面的防病毒解决方案(例如,卡巴斯基反恶意软件解决方案)进行保护。
相关文章:
