Как защититься от троянца Emotet

Что такое Emotet?

Emotet – это вредоносная программа, которая изначально задумывалась как банковский троянец. С ее помощью злоумышленники получают доступ к конфиденциальным данным на чужих устройствах. Emotet известен тем, что умеет обманывать базовые антивирусы так, что те не могут его распознать. После загрузки программа ведет себя, как компьютерный червь, стремясь проникнуть на другие устройства сети.

В основном троянец распространяется через спам. В электронном письме содержится вредоносная ссылка или зараженный документ. При загрузке документа или переходе по ссылке зловред автоматически устанавливается на компьютер. Поддельные письма практически не отличаются от обычных, поэтому жертвами Emotet стали многие пользователи.

Краткое описание зловреда

Emotet впервые обнаружили в 2014 году – троянец атаковал клиентов немецких и австрийских банков. С его помощью злоумышленники получали доступ к учетным данным пользователей. В последующие годы зловред захватил весь мир.

Затем Emotet эволюционировал из банковского троянца в дроппер, который устанавливал другие вредоносные программы на устройства. Эти программы и наносили фактический вред системе.

Чаще всего Emotet загружал следующее вредоносное ПО.

• Trickster (также известный как TrickLoader или TrickBot) – банковский троянец, который стремится заполучить данные для доступа к банковским счетам.
• Ryuk– троянец-шифровальщик (также криптотроянец или программа-вымогатель), который шифрует данные, лишая пользователя доступа к ним или ко всей системе.

Самая желанная цель мошенников, использующих Emotet, – это чужие деньги. Например, преступники могут угрожать публикацией украденных данных для получения выкупа.

Кто под прицелом?

Emotet нацелен как на отдельных пользователей, так и на компании, организации и государственные учреждения. В 2018 году 450 компьютеров больницы города Фюрстенфельдбрук (Германия) заразились Emotet. Чтобы остановить эпидемию, пришлось отключить устройства и выйти из системы спасательно-координационного центра. В сентябре и декабре 2019 года пострадали апелляционный суд Берлина и Гисенский университет. Также в числе жертв оказались Высшая медицинская школа Ганновера и городская администрация Франкфурта-на-Майне.

Это лишь несколько примеров. Считается, что реальное число жертв гораздо больше – предположительно, многие организации побоялись предавать огласке инцидент, чтобы защитить репутацию.

Важно отметить, что если поначалу Emotet в основном атаковал компании и организации, то сегодня жертвами все чаще становятся отдельные пользователи.

Какие устройства атакует Emotet?

Первое время Emotet находили только на устройствах с последними версиями Windows. Но в начале 2019 года стало известно, что компьютеры Apple также подвержены атакам. Злоумышленники отправляли потенциальным жертвам письма, выдавая себя за сотрудников службы поддержки Apple. Они грозили «ограничить доступ к учетной записи» при отсутствии ответа. Жертвам сообщалось, что необходимо перейти по указанной в письме ссылке, чтобы отменить деактивацию и удаление сервисов Apple.

Как распространяется Emotet?

В основном Emotet распространяется при помощи сбора данных в Outlook. Троянец читает электронную переписку на уже зараженных устройствах и создает похожие сообщения для обмана пользователей. Поддельные письма сложно отличить от настоящих – этим они отличаются от обычного спама. Emotet рассылает фишинговые письма контактам жертвы: друзьям, членам семьи и коллегам.

Чаще всего в таких письмах содержится зараженный документ Word, который получатель скачивает на компьютер, или вредоносная ссылка. Поскольку имя отправителя совпадает с именем реального человека, адресат уверен, что получил подлинное письмо. В большинстве инцидентов жертвы переходили по опасной ссылке или загружали зараженный документ.

Получив доступ к сети, Emotet стремится проникнуть на другие устройства. Троянец пытается взломать учетные записи методом перебора паролей. Также Emotet может попасть на устройство с Windows посредством эксплойта EternalBlue и уязвимости DoublePulsar. В таких случаях вредоносное ПО устанавливается без участия пользователя. В 2017 году программа-вымогатель WannaCry использовала эксплойт EternalBlue в масштабной и разрушительной кибератаке.

Кто стоит за Emotet?

По данным Федерального управления по информационной безопасности Германии (BSI),

«разработчики Emotet передают свое программное обеспечение и инфраструктуру третьим лицам на правах субаренды».

Злоумышленники часто используют другие вредоносные программы в сочетании с Emotet для достижения своих целей. По мнению BSI, их интересуют деньги, поэтому атаки считаются киберпреступлениями, а не шпионажем. Сегодня все еще неизвестно, кто является создателем Emotet. Ходят разные слухи о стране происхождения программы, но точных сведений нет.

Насколько опасен Emotet?

Сотрудники Министерства внутренней безопасности США пришли к выводу, что Emotet – чрезвычайно разрушительная и дорогая программа. Затраты на устранение последствий одного инцидента могут достигать миллиона долларов Поэтому глава BSI Арне Шёнбом (Arne Schoenbohm) считает этого троянца «королем вредоносного ПО».

Вне всяких сомнений, Emotet – одна из самых сложных и опасных вредоносных программ. Она полиморфна. Это значит, что ее код немного меняется каждый раз, когда к ней обращаются.

Именно поэтому антивирусам так сложно идентифицировать Emotet – большинство из них использует сигнатуры для поиска угроз. В феврале 2020 года ИБ-исследователи из Binary Defense обнаружили, что целью атак Emotet могут быть Wi-Fi-сети. При подключении зараженного устройства к беспроводной сети Emotet сканирует другие Wi-Fi сети поблизости. Используя список паролей, программа пытается подключиться к этим сетям и заразить другие устройства.

Киберпреступники играют на страхе своих жертв. Поэтому нет ничего удивительного в том, что пандемия коронавируса, начавшаяся в декабре 2019 года, сыграла им на руку. Преступники пишут поддельные электронные письма, в которых якобы содержится полезная информация о коронавирусе. Увидев такое сообщение, будьте крайне осторожны, особенно если в нем есть файлы или ссылки.

Как защититься от троянца Emotet?

Антивирус не может на 100% защитить от таких троянцев, как Emotet. Обнаружение полиморфной программы – лишь первый шаг в борьбе с ней. На сегодняшний день не существует решения, которое обеспечило бы полную защиту от Emotet и других постоянно меняющихся троянцев. Только приняв организационные и технические меры, можно свести к минимуму риск заражения.

Вот советы, которые помогут вам уберечься от Emotet

• Следите за новостями в сфере ИБ, в частности, связанными с Emotet. Например, вы можете читать статьи на сайте «Лаборатории Касперского» или самостоятельно изучать разные источники.
• Не забывайте про обновления безопасности. Важно устанавливать их как можно скорее, поскольку официальные обновления закрывают уязвимости ПО. Это касается как ОС Windows и macOS, так и любых приложений, браузеров и их расширений, почтовых клиентов, пакета программ Microsoft Office и PDF-редакторов.
• Используйте надежный антивирус. Установите комплексное решение для защиты от вредоносных программ, такое как Kaspersky Internet Security, и регулярно проверяйте компьютер на наличие уязвимостей. Так вы защититесь даже от самого продвинутого вредоносного и шпионского ПО.
• Не скачивайте сомнительные файлы и не переходите по подозрительным ссылкам из писем. Если вы не можете сказать наверняка, настоящее письмо или нет, уточните у адресата, действительно ли тот его отправил. Если вас попросят разрешить запуск макроса в загруженном файле, ни в коем случае не делайте этого и сразу удалите файл. Если вы будете следовать этим правилам, Emotet не сможет установиться на вашем компьютере.
• Помните про регулярное резервное копирование данных на внешние устройства. В случае заражения вы не потеряете их, поскольку у вас будет резервная копия.
• Используйте надежные пароли ко всем учетным записям (в банковских приложениях, электронной почте и интернет-магазинах). Кличка вашей собаки не подойдет, а вот случайный набор букв, цифр и специальных символов – то, что нужно. Вы можете придумать его сами или воспользоваться генератором паролей. Кроме того, современные программы поддерживают двухфакторную аутентификацию.
• Обращайте внимание на расширения. Они должны по умолчанию отображаться в имени файлов. Это позволит вам распознать вредоносную программу в файле вида Photo123.jpg.exe.

Как удалить Emotet?

Если вам кажется, что ваш компьютер заражен Emotet, – не поддавайтесь панике. Предупредите об этом всех, с кем общаетесь по электронной почте, поскольку они находятся в зоне риска.

Отключите компьютер от сети, чтобы ограничить распространение троянца. Затем поменяйте пароли для всех учетных записей (в электронной почте, браузерах и т. д.). Но делайте это на устройстве, которое точно не заражено и не подключено к зараженной сети.

Поскольку Emotet – полиморфный зловред (т. е. его код немного меняется каждый раз, когда к нему обращаются), очищенный компьютер может тут же подхватить троянца повторно при подключении к зараженной сети. Поэтому крайне важно один за другим очистить все компьютеры сети. В этом вам поможет антивирус. Еще вы можете обратиться за помощью в службу поддержки вашего поставщика защитного ПО.

EmoCheck: есть ли польза?

Группа экстренного реагирования на инциденты (CERT) из Японии выпустила EmoCheck – инструмент, способный, по заверению разработчиков, обнаружить Emotet на зараженном компьютере. Но даже EmoCheck не гарантирует стопроцентной защиты из-за полиморфизма троянца.

Инструмент может выявить типичные цепочки символов и предупредить о потенциальном заражении троянцем. Однако изменчивость Emotet не позволит сказать наверняка, что компьютер чист.

Выводы

Emotet – одна из самых опасных вредоносных программ в истории ИБ. Ее жертвами могут стать отдельные пользователи, компании и даже международные организации. Попав в систему, троянец запускает на компьютере другое (шпионское) ПО.

От жертв Emotet часто требуют выкуп, обещая вернуть украденные данные. Ни одна программа не гарантирует стопроцентной защиты от этого зловреда. Тем не менее можно снизить риск заражения.

Воспользуйтесь нашими советами, если вам кажется, что компьютер заражен Emotet. Для максимальной безопасности используйте комплексные защитные решения, такие как продукты «Лаборатории Касперского».

Статьи по теме:

• Что такое троянская программа?
• Что такое программа-вымогатель WannaCry?
• Какие существуют типы программ-вымогателей?
• Советы по предотвращению заражения троянами-вымогателями