Jak sprawdzić, czy komputer został zainfekowany przez trojana Emotet?

1 lutego, 2021

W zeszłym tygodniu Europol ogłosił przejęcie serwera dowodzenia nad komputerami, które były zainfekowane trojanem Emotet. To szkodliwe oprogramowanie było poważnym zagrożeniem dla co dziesiątej polskiej firmy w 2019 roku. Największą aktywność cyberprzestępców zanotowano w pierwszej połowie 2019 roku – w bazach danych wirusów niemieckiej firmy G DATA, znanej z oprogramowania do cyfrowych zabezpieczeń, zarejestrowano ponad 33000 wersji konia trojańskiego Emotet (ponad 200 nowych wersji dziennie). To jedno z najbardziej powszechnych oraz najniebezpieczniejszych zagrożeń, jakiemu musiały stawiać czoła małe i średnie firmy w Polsce, także i w 2020 roku – wynika ze statystyk Trend Micro. Co więcej w Polsce najczęściej wykrywanym złośliwym oprogramowaniem był wymieniony Emotet (8,1% infekcji) – twierdzą eksperci z firmy Check Point.

Trojan Emotet mapa ofiar
Mapa przedstawia największą aktywność trojana Emotet.

Jak sprawdzić infekcję trojanem Emotet?

Emotet rozprzestrzenia się w załącznikach do wiadomości e-mail, które zawierają linki do szkodliwych stron. Jednak najczęściej to zagrożenie występuje pod postacią złośliwego makra w dokumentach Office / Libre Office:

Jedna z niezliczonych wersji trojana Emotet.
Jedna z niepoliczalnych wersji trojana Emotet.

Emotet to uniwersalne narzędzie do pobierania innego złośliwego oprogramowania np. ransowmware. Dzięki swojej polimorficznej naturze potrafi ominąć tradycyjne metody wykrywania zagrożeń, które są oparte na sygnaturach.

Dla nowoczesnych rozwiązań takich jak advanced endpoint security, total security, trojan ten nie stanowi poważnego zagrożenia, ale kiedy już dostanie się do systemu, podczepia się pod działające procesy i łączy ze zdalnym serwerem C&C. Następnie odbiera polecenia np. wysyłania do operatora skradzionych danych.

Europol we współpracy z ukraińską policją przygotował pokazowy materiał wideo przejęcia jednego z „centrum” dowodzenia na Ukrainie.

Do współpracy włączyły się agencje policyjne z Kanady, Francji, Niemiec, Litwy, Holandii, Ukrainy, Wielkiej Brytanii i Stanów Zjednoczonych. Działania były koordynowane przez Europol i Eurojust. Ponadto holenderska policja utworzyła specjalną stronę WWW, na której można wpisać swój adres e-mail i sprawdzić, czy adres znajduje się w bazie przestępców.

Emotet - sprawdzenie infekcji
Emotet - sprawdzenie infekcji poprzez podanie swojego adresu email.

Po podaniu adresu e-mail trzeba jeszcze poczekać na wiadomość zwrotną. Jeżeli żadna nie zostanie dostarczona, to najprawdopodobniej komputer nie był zainfekowanym Emotetem. Ponieważ trojan posiadał zdecentralizowaną strukturę serwerową, nie musi to oznaczać, że strona internetowa holenderskiej policji będzie pomocna dla wszystkich użytkowników. Trudno  ustalić na 100%, czy dane urządzenie było lub jest zainfekowane.

Dzięki Holendrom aktualni operatorzy serwera umożliwili ofiarom automatyczne pobranie nowej konfiguracji i samo-usunięcie się szkodliwego oprogramowania. Jednakże warto przeskanować urządzenie renomowanym pakietem bezpieczeństwa, aby mieć pewność, że żadna próbka trojana Emotet nie znajduje się na komputerze.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]