OPOZORILO: Širjenje okužb s trojancem Emotet. Vir: www.cert.si
od Luka Žvar
Emotet je zelo trdoživ trojanski konj, ki je namenjen kraji uporabniških podatkov in gesel, okužba pa za organizacijo predstavlja veliko nevarnost.
Emotet spada v kategorijo t.i. “information stealer” trojanskih konjev. Prva različica sega v 2014, v tem času pa se je razvil v napreden in učinkovit mehanizem okužbe računalnikov. Glavni namen je kraja uporabniških podatkov: shranjenih gesel v brskalnikih, odjemalcih elektronske pošte, programih za hipno sporočanje, vsebine in naslovov elektronske pošte, beleženje vnosov prek tipkovnice oz. keylogger. Okužba odpira vrata tudi nadaljnjim zlorabam: uporaba okuženega računalnika v botnetu za napade na druge sisteme ter za prenos druge škodljive kode na okužen sistem, npr. izsiljevalskih kripto virusov (ransomware).
Emotet ni izbirčen pri iskanju svojih žrtev, nevaren je tako za posameznike kakor tudi za večja podjetja oz. organizacije. Trojanec se v zadnjem času širi predvsem na elektronske poštne naslove, ki so bili pridobljeni v predhodnih okužbah. To pomeni, da so napadalci naslove in vsebino e-pošte pridobili iz poštnih odjemalcev Outlook, ki so, skupaj z operacijskim sistemom Windows, večinoma v uporabi v poslovnem okolju. Posledično so podjetja in organizacije dovzetnejša za širjenje potencialne okužbe.
Slika 1: Širjenje okužb s trojancem Emotet. Vir: www.cert.si
Kako prepoznamo nevarnost?
Okužena sporočila načeloma vsebujejo naslednje elemente:
- v polju pošiljatelja je navedeno ime znane osebe, s katero smo v preteklosti že komunicirali ter neznan elektronski naslov, ki pa ga poštni programi praviloma ne prikažejo,
- stavek ali dva v angleškem jeziku, ki poziva, da preverimo oz. odpremo priponko,
- ime, priimek in elektronski naslov znane osebe (v podpisu),
- vsebino predhodne korespondence,
- sporočilo vsebuje priponko ali povezavo za prenos datoteke iz oddaljene lokacije.
Zlonamerna priponka je lahko v različnih formatih; običajno gre za priponke s končnicami MS Office dokumentov (.doc, .docx, .docm, .xls, .xlsx, .xlsm), v uporabi pa so tudi .pdf dokumenti in arhivske datoteke, največkrat .zip (včasih tudi .rar., .iso, .img ipd). Zadnje različice vsebujejo arhivske .zip datoteke, zaščitene z geslom, ki je zapisano v samem sporočilu. V različici sporočil, ki vsebujejo povezavo za prenos datoteke, pa te najpogosteje vodijo do strani ponudnikov storitev deljenja in hrambe datotek, npr. GoogleDrive, DropBox, WeTransfer. Znani so tudi primeri, ko so se datoteke nahajale na drugih zlorabljenih spletnih strežnikih, tudi slovenskih.
Kako ukrepate ob okužbi?
V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oz. ga ponastaviti na tovarniške nastavitve. Potrebna je menjava vseh gesel in tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu. Menjavo gesel je potrebno opraviti na preverjeno čistem sistemu!
Ob sumu okužbe (in če so na voljo tehnične možnosti) je priporočljiv tudi nadzor odhodnega omrežnega prometa, s ciljem lociranja morebitne sumljive komunikacije med okuženim sistemom ter oddaljenim nadzornim strežnikom napadalcev.
Več informacij
Več informacij o virusu lahko najdete na spletni strani SI CERTa.
V kolikor pa potrebujete pomoč nas lahko kontaktirate na:
- pomoc@positiva.si
- ali nas pokličete na: +386 1 620 33 13
In naši sistemski strokovnjaki se vam bodo z veseljem posvetili.
Vir celotnega članka je: https://www.cert.si/
Priporočeni prispevki
Kako spletno trgovino pripraviti na praznične nakupe?
3. oktobra, 2024
Positiva prejela nagrado WEBSI za prenovo spletne strani Telekom.si
16. septembra, 2024
Začnimo
vaš projekt
Vsaki stranki se posvetimo 100 odstotno. Kontaktirajte nas in skupaj bomo našli najbolj optimalno rešitev za vaš posel, skupaj bomo ustvarili nekaj čudovitega.
ZAČNIMO PROJEKT