Verschlüsselungstrojaner Emotet

Anfangs spähten Kriminelle mit Emotet Bank-Zugangsdaten aus. Mittlerweile wird Emotet dazu genutzt, unbemerkt Schadprogramme im Hintergrund nachzuladen (Infektion durch Dynamic-Phishing), um die betroffenen Computer zu verschlüsseln und Lösegeld zu erpressen. Auch bei der Nutzung des besten Virenscanners kann eine Infektion erfolgen, denn Emotet wird gegen alle aktuellen Virenscanner getestet.

Erster Kontakt – Emotet kommt per Mail

Emotet-Infektionen fangen mit einem Office-Dokument an, das per E-Mail-Anhang im E-Mail-Postfach landet. Die E-Mail kann dabei durchaus von einer bekannten Person kommen – die zuvor kompromittiert wurde. Aufmerksamkeit beim Durchstöbern Ihres Mail-Postfaches ist also immer angebracht. Panik ist aber auch nicht angesagt, denn allein der Empfang einer E-Mail, also das Lagern im Postfach, lässt Emotet noch nicht „wüten“ – erst das Öffnen eines Mail-Anhangs oder Anklicken eines Links setzt die Emotet-Maschinerie in Gang.

Emotet soll im Hintergrund unbemerkt und dauerhaft laufen. Dafür trägt es sich in die Windows-Registry ein und startet im Hintergrund unbemerkt neu angelegte Windows-Dienste mit Namen von legitimen Windows-Diensten. Von nun an läuft Emotet unauffällig und leise. Die Module der Schadsoftware werden dynamisch in den Arbeitsspeicher (RAM) geladen und nicht als Dateien auf dem Computer gelegt, um keine Spuren zu hinterlassen. Von Emotet aus dem Internet nachgeladene Module versuchen zudem die Schadsoftware im Netzwerk weiter zu verbreiten. Das Unheil nimmt seinen Lauf.

Im Browser (Edge, Firefox, Chrome etc.) und E-Mail-Programm (Outlook, Thunderbird etc.) gespeicherte Passwörter werden ausgelesen und auf die Server der Kriminellen übertragen. E-Mail-Verlauf und -Kontakte des Mail-Programms werden genutzt, um direkt vom gekaperten Computer E-Mails mit manipulierten Office-Dokumenten an weitere Opfer zu schicken.

Soweit muss es aber nicht kommen, denn bestimmte Verhaltensregeln und Computer-Einstellungen bieten einen Schutz vor Emotet & Co.

So schützen Sie sich am besten vor Emotet

  • Windows: Betriebssystem, Programme und Treiber regelmäßig aktualisieren, um Sicherheitslücken zu schließen
  • Antivirus-Programm nutzen („Der beste Virenscanner“)
  • Windows: Arbeiten mit eingeschränktem Benutzerkonto – nicht mit Administrator-Benutzerkonto arbeiten
  • Windows: Regelmäßige Sicherung (Empfehlung: Personal Backup, AllwaySync) Ihrer persönlichen wichtigen Dateien auf einem externen Speichermedium (z.B. NAS oder Cloud)
  • Windows: Höchste Stufe in der Benutzerkontensteuerung (UAC)
  • Browser: Scriptblocker (uMatrix, NoScript) im Browser nutzen
  • Microsoft Office: Makros deaktivieren (siehe „Makro-Viren abwehren“)
  • E-Mail: Eingehende Mails mit gesundem Misstrauen betrachten, E-Mail-Anhänge und Links – auch bei vermeintlich bekannten Absendern – nicht überstürzt öffnen
    • Mauszeiger auf den Link bewegen (nicht klicken!) und Link prüfen
    • Keine Office-Dokumente (Text.doc, Tabelle.xls) öffnen
    • Keine Makros von geöffneten Office-Dokumenten zulassen/aktivieren

Bei Emotet-Befall ist Eile geboten

Befinden sich noch andere Computer im selben Netzwerk (LAN) des infizierten Computers, ist davon auszugehen, dass Emotet auch diese Computer bereits kompromittiert hat. Alle Computer desselben Netzwerkes (auch nur potentiell befallene) sind deshalb sofort vom Internet und Netzwerk zu trennen. Auch das sofortige Trennen vom Strom, könnte noch einen Teil der Daten retten.

Hat Emotet einen Computer infiziert, garantiert nur noch das Formatieren und Neu-aufsetzen des Betriebssystems sowie das Zurückspielen eines sauberen Backups, eine 100%ige Beseitigung der Schadsoftware.

Benötigen Sie Hilfe und Unterstützung, dann kontaktieren Sie mich gerne!

Weiterführende Informationen