[English]Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger bereits im Januar 2021 auf infizierten Systemen installieren ließen.
Anzeige
Emotet: Ein Rückblick
Emotet ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empfänger über den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empfänger die Anlage bzw. den Anhang der E-Mail öffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausführung gebracht.
Die Emotet-Gruppe war für zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Behörden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gefährlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert.
Emotet besaß als sogenannter „Downloader" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen „Botnetzes" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy" gegen Entgelt angeboten. Deshalb kann das kriminelle Geschäftsmodell von Emotet als „Malware-as-a-Service" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.
Übernahme der Infrastruktur und Deinstallation
Durch die Übernahme der Emotet Command & Control-Server (C&C) im Januar 2021 konnten die Strafverfolger die Nachladefunktion für Schadsoftware über die C&C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Ab da konnten die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren.
Anzeige
Bereits im Blog-Beitrag Details zur Emotet Deinstallation durch Strafverfolger hatte ich darüber berichtet, dass die Strafverfolger eine Deinstallationsroutine auf die Systeme brachten und planten, die Emotet-Malware zum 25. April 2021 automatisch von befallenen Systemen deinstallieren zu lassen. Dabei werden schlicht alle Dienste, die in Verbindung mit Emotet stehen, gelöscht. Zudem wird der Run-Schlüssel in der Registrierung von Windows entfernt, so dass keine Emotet-Module mehr automatisch gestartet werden. Und es sollen alle laufenden Emotet-Prozesse beendet werden. Nachfolgender Tweet führt diese Funktionen auf.
Am 25. April 2021 war es dann wohl so weit, wie die Kollegen bei Bleeping Computer hier anmerkten. Dort liest man, dass das deutsche Bundeskriminalamt (BKA) federführend für diese Deinstallations-Funktionen aktiv war. heise hat diesen Artikel zum Thema veröffentlicht, in dem auch auf die rechtlich wackelige Basis der Deinstallation der Malware abgestellt wird.
Ähnliche Artikel:
Cryptolaemus und der Kampf gegen Emotet
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Warnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)
Emotet wütet bei der Studienstiftung des deutschen Volkes
Emotet-Trojaner/Ransomware weiter aktiv
Microsoft warnt vor massiver Emotet-Kampagne
Emotet-Trojaner kann Computer im Netzwerk überlasten
Emotet Malware als vermeintliches Word-Update getarnt
Emotet-Trojaner-Befall in Berliner Oberlandesgericht
Emotet-Infektion an Medizinischer Hochschule Hannover
Emotet C&C-Server liefern neue Schadsoftware aus–Neustadt gerade infiziert
Emotet-Trojaner bei heise, Troy Hunt verkauft Website
Emotet zielt auf Banken in DACH
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Neu Emotet-Kampagne zu Weihnachten 2020
BKA: Infrastruktur der Emotet-Schadsoftware übernommen und zerschlagen
Emotet deinstalliert sich angeblich am 25. April 2021
Details zur Emotet Deinstallation durch Strafverfolger
Anzeige
Das war jetzt mal eine kurze Verschnaufspause, es geht schon wieder los, wie man an Tegut und Madsack sieht.