Neue Emotet-Welle

Schmuckgraphik
Derzeit ist eine neue Emotet-Trojaner-Welle im Umlauf. Es wird eine bereits vorhandene Kommunikation weitergeführt. Bei dem tarnt sich der Angreifer als ein vermeintlich bekannter Kommunikations-Partner. Aufgrund mehrerer Vorfälle ist eine erhöhte Vorsicht geboten.

Was ist anders bei dieser Welle?

Im Gegensatz zur letzten bekannten Welle befinden sich diesmal keine DOC-Dateien im Anhang. Dafür ist in den E-Mails ein Link auf ein DOC-Dokument enthalten.

Ruft man diesen Link versehentlich aus, wird die DOC-Datei geladen und versucht, den darin enthaltenen Schadcode auszuführen. Dieser schleust die Malware auf das System ein und führt sie aus.

So schützen Sie sich

Seien Sie auch bei vermeintlich bekannten Absendern misstrauisch. Fällt Ihnen ein Unterschied zwischen dem angezeigten Absender-Namen und der Absender-Adresse auf, ist dies ein deutlicher Hinweis auf eine Spam-Mail. Seien Sie stets vorsichtig bei Dateianhängen bei E-Mails (insbesondere Office-Dokumente). Informieren Sie sich im Zweifelsfall beim Absender telefonisch.

Screenshots der aktuellen Emotet-Mails

Screenshot Mail-Empfang

Screenshot Mail-Empfang

Hinweis: Bei einer internen Kommunikation zwischen zwei Exchange-Nutzern an der TU wird die E-Mail-Adresse nicht wie im Screenshot daneben angezeigt, sondern nur der Absendername. In diesem Fall können Sie von der Echtheit des Kommunikationspartner ausgehen.

Screenshot Emotet-Trojaner: geöffnete DOC-Datei

Vorsicht ist besser als Nachsicht

Wenn Sie sich unsicher sind, ob die E-Mail glaubwürdig ist, fragen Sie besser einmal mehr als einmal zu wenig:

  • Fragen Sie den Absender der E-Mail (idealerweise per Telefon).
  • Fragen Sie einen Kollegen.
  • Fragen Sie unseren IT Service Desk.
    • E-Mail: servicedeskattu-freiberg [dot] de
    • Telefon: 1818

Deaktivieren Sie Makros

Wenn Sie die Möglichkeit haben, deaktivieren Sie Makros, damit diese nicht automatisch auf Ihrem System ausgeführt werden können. Die Anleitung zum Aktivieren oder Deaktivieren von Makros in Office-Dateien finden Sie auf den Support-Seiten von Microsoft Office. Falls Sie aus Gründen keine Sicherheitshinweise erhalten können, seien Sie besonders achtsam.

Das können Sie tun, wenn Sie betroffen sind

Höchstwahrscheinlich sind auf einem mit Emotet infizierten System alle gespeicherten oder eingegebenen Zugangsdaten für E-Mail-Konten (in dem Fall Ihr zentrales Login) und andere Online-Dienste (FTP-Zugänge, Online-Shops, etc.) ebenfalls kompromittiert.

  • Nehmen Sie umgehend das infizierte Gerät vom Datennetz.
  • Informieren Sie schnellstmöglich Ihren zuständigen (lokalen) Administrator.
  • Ändern Sie unbedingt Ihre Zugangsdaten, die auf dem betroffenen Gerät hinterlegt sind.
  • Informieren Sie Ihre potentiellen Kontakte, dass diese bei E-Mails von Ihnen vorsichtig sein sollen, da diese möglicherweise nicht von Ihnen stammen.

Desinfektion eines Computers nach einem Virenbefall

Das System an sich kann bereits unterlaufen sein, so dass die vorhandenen Schutz-Programme nicht mehr anschlagen können. Falls Sie Zugriff auf eine Software wie z.B. Desinfec't haben, können Sie diese über Ihr System laufen lassen.

System neu aufsetzen

Im Zweifelsfall kommen Sie nicht herum, Ihr System vollständig neu aufzusetzen, da es zu irreparablen Schäden gekommen sein kann.

Weitere Informationen