Emotet恶意软件于2014年首次被识别为Banking木马。迄今为止,Emotet已从银行木马演变为威胁分发者。它在2018年以垃圾邮件和传播等功能严重打击了许多组织。随着它在许多组织中的广泛丰富/存在,它成为了威胁分发者。自2018年中以来,威胁参与者使用Emotet传播其他恶意软件,例如TrickBot,Qakbot和最危险的Ryuk勒索软件。还已经观察到,它会加载模块并根据地理位置(即受害国)而启动不同的恶意软件。
恶意软件作者的策略是将受感染的系统用于所有手段,例如首先用于凭据窃取,然后再将这些凭据用于传播和垃圾邮件。最后,当所有使用此受感染系统的软件完成后,它将部署其他恶意软件,例如 勒索软件, 特技机器人, Qakbot.
从2018年年中开始,Emotet由于其多态性,自我更新和传播功能而使安全提供商感到头疼,这使得此类感染网络的清理非常复杂,有时需要数月的清理时间。
它如何进入您的系统?
它通过网络钓鱼邮件进入您的系统,如下图所示:
这些电子邮件包含恶意附件,如doc,pdf,xls,js等。一旦用户打开此类附件,它将下载并启动Emotet。有时,此类邮件可能包含恶意链接,当用户打开时,它会下载并启动Emotet。另一种方法是通过横向传播,即如果同一网络中的一个朋友或同事感染了Emotet,则您朋友的计算机可以在您的计算机上部署Emotet。
Emotet能做什么?
它具有许多功能,例如密码窃取,电子邮件收集,垃圾邮件,横向传播,启动其他恶意软件。所有这些都在我们的详细讨论中 EMOTET研究论文.
影响:
根据2018年7月20日发布的US-CERT警报,“Emotet仍然是影响州,地方,部落和地区(SLTT)政府以及私人和公共部门的成本最高且破坏性最大的恶意软件之一。 Emotet感染使SLTT政府每起事件的补救费用高达100万美元。 ”
在Quick-Heal实验室中,我们发现由于Emotet的垃圾邮件,许多客户受到了严重影响。随着恶意软件向用户的联系人发送许多网络钓鱼邮件,邮件服务器达到了最大限制,并在当天屏蔽了用户的帐户。结果,这种受感染组织的大多数员工无法发送邮件。这些障碍会导致正常运营或工作中断,并进一步损害组织的声誉。最终,在一两个星期后,我们就能够彻底清理整个网络。
Ryuk勒索软件感染可能会导致用户的关键数据暂时或永久丢失。
快速修复遥测说:
如您所见,从2018年7月到4月19日,每天的点击次数很高。这表明它的普及程度。但是实际的客户升级数量却并非如此。在快速修复实验室中,即使每天检测到数千个样本之后,在疫情爆发后的最初几个月中,我们也收到了许多客户的投诉。此外,我们添加了一些规则,IOC’,产品功能各个级别的签名,即病毒防护,行为检测,电子邮件防护,内存扫描,IDS&IPS,基于机器学习的浏览保护。最近几个月以来,这已经直接影响了Emotet的零客户升级,已经感染的客户也被彻底清除。统计数据表明,过去几个月我们每天检测数千个Emotet样本,但仍未报告客户升级/问题。
如何删除Emotet?
如果您的计算机位于任何组织的网络中,请首先立即将其隔离。修补程序包含已安装软件的最新更新’并清洁系统。
由于Emotet可以在网络中横向移动,因此当您重新连接到网络时,您的计算机可能再次受到感染。识别并清理同一网络中的每台受感染计算机。这是一个非常复杂的过程。随时可以选择Quick-heal Antivirus / 序列端点安全 为避免此复杂过程,并确保安全清洁已感染的机器并主动阻止将来的Emotet感染。
预防措施
- 使用操作系统,安全软件和其他软件的最新更新,使计算机保持最新。
- 不要打开从未知/不可信来源收到的邮件中的任何链接。
- 不要下载未知/不可信来源收到的附件。
- 请勿为Microsoft的Office文档启用“宏”功能。
- 教育自己和他人保持强密码。
- 尽可能使用两因素身份验证。
结论:
统计数据表明,在过去的几个月中,我们每天检测到数千个Emotet样本,但仍未报告客户升级/问题。可以这样说,Quick Heal可以阻止Emotet直到今天’的日期。由于它在恶意软件和安全厂商之间总是猫捉老鼠的游戏,因此我们希望Emotet能够发展到下一步。我们还将持续监控Emotet的未来,并确保所有客户都免受此类恶意软件的侵害。
要了解有关Emotet的详细分析的更多信息, 下载 此PDF。
内容礼貌
Bajrang Mane,安全实验室
没意见