14.10.2019 Schadprogramm Emotet


Schon seit längerem geistert Emotet durch das Internet. Erstmalig trat es 2014 auf. Es verteilt sich automatisch per E-Mail. Heuer hat es den Zeitschriftenverlag Heise erwischt. In der c't wurde darüber ausführlich berichtet.

Emotet ist sehr gefährlich. Hat es einmal einen Rechner befallen, durchsucht es Outlook und versendet automatisch Antworten für gefundene E-Mails. D.h. der Empfänger erhält eine Antwort von einem legitimen Kommunikationspartner mit korrektem Inhalt. z.B. Anbei die überarbeitet Version des Vertrags. Im Dateianhang versteckt sich dann das Ladeprogramm für Emotet. Dieses wird immer wieder abgewandelt, damit es von Antiviren Wächtern nicht gefunden werden kann.

Das gefährliche ist, daß diese E-Mails immer besser werden. Auch versierte Benutzer können schon mal darauf reinfallen. Ich hätte benahe mal eine DPD Benachrichtigung geöffnet, weil ich just an diesem Tag ein Paket erwartete.

Emotet wird laufend weiterentwickelt und kann verschiedene Module nachladen. Hat es sich auf einem Rechner eingenistet, versucht es sich auch im lokalen Netz zu verteilen. Je nach Größe des infiltrierten Netzwerks loggen sich dann auch Hacker über ein Backdoor ein und untersuchen das Netzwerk. Wenn es sich auszahlt, werden mit dem Verschlüsselungstrojaner Ryuk die Daten verschlüsselt und eine sehr hohe Summe für die Herausgabe des Schlüssels verlangt. Oft bezahlen Firmen und Behörden den Betrag, weil der Produktionsausfall noch teurer wäre.

Heise hat den Vorfall schnell entdeckt und alle Verbindungen zum Internet sofort unterbrochen. Es wurden in dem betroffenen Netzwerk ausnahmslos alle Server und PCs neu aufgesetzt.

Was tun?

Kritisch sind E-Mails mit Dateianhängen. Vor allem über Word-Dateien verteilt sich der Virus. Das können Rechnungen, Verträge oder Bewerbungsunterlagen
sein. Wird doch mal eine Datei mit dem Virus geöffnet, fragt Word normalerweise, ob man das Makro ausführen möchte. Da sollte man eher auf nein klicken.
Ansonsten Augen auf und lieber zwei Mal nachdenken, bevor man einen Dateianhang öffnet. Wenn der Rechner mal aus irgend einem Grund komisch reagiert,
einfach den Stecker ziehen und laut um Hilfe schreien. Microsoft Updates brav installieren. Für Server übernehmen wir das gern und spielen die Updates
zeitnah ausserhalb der Betriebszeit ein. Auch die restliche Software aktuell halten: z.B. Adobe Acrobat, Java Runtime. Ansonsten Datensicherung,
Datensicherung, Datensicherung. Datensicherung auf verschiedenen Festplatten, die laufend gewechselt werden, wovon auch eine aktuelle Sicherung ausser Haus gelagert wird. Immer wieder mal testen, ob die Backups auch funktionieren. D.h. virtuelle Maschine aufsetzen, Datenträger einspielen. Dokumentation aktualisieren, damit man im Notfall nicht nachdenken muß.