{"id":243767,"date":"2021-01-30T09:53:37","date_gmt":"2021-01-30T08:53:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243767"},"modified":"2021-01-30T10:54:50","modified_gmt":"2021-01-30T09:54:50","slug":"details-zur-emotet-deinstallation-durch-strafverfolger","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/30\/details-zur-emotet-deinstallation-durch-strafverfolger\/","title":{"rendered":"Details zur Emotet Deinstallation durch Strafverfolger"},"content":{"rendered":"

[English<\/a>]Die Emotet-Malware wird am 25. April 2021 automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger auf infizierten Systemen installieren. Jetzt gibt es einige Details, was beim Deinstallieren passiert.<\/p>\n

<\/p>\n

Emotet: Ein R\u00fcckblick<\/h2>\n

\"\"Emotet<\/a> ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empf\u00e4nger \u00fcber den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empf\u00e4nger die Anlage bzw. den Anhang der E-Mail \u00f6ffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausf\u00fchrung gebracht.<\/p>\n

Die Emotet-Gruppe war f\u00fcr zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Beh\u00f6rden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gef\u00e4hrlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Beh\u00f6rden und Institutionen infiziert.<\/p>\n

Emotet besa\u00df als sogenannter \u201eDownloader\" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Aussp\u00e4hen von gespeicherten Passw\u00f6rtern oder zur Verschl\u00fcsselung des Systems f\u00fcr Erpressungen. Die Nutzung dieses durch die T\u00e4ter geschaffenen \u201eBotnetzes\" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der \u201eUnderground Economy\" gegen Entgelt angeboten. Deshalb kann das kriminelle Gesch\u00e4ftsmodell von Emotet als \u201eMalware-as-a-Service\" bezeichnet werden.<\/p>\n

Die Woche war bekannt geworden, dass internationale Strafverfolgungsbeh\u00f6rden aus Deutschland, den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA, die Infrastruktur der Schadsoftware Emotet mit Unterst\u00fctzung von Europol und Eurojust \u00fcbernommen haben, um das Netzwerk und zu zerschlagen. Die Details zur Aktion finden sich im Blog-Beitrag BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a>.<\/h4>\n

Emotet soll deinstalliert werden<\/h2>\n

Durch die \u00dcbernahme der Emotet Command & Control-Server (C&C) konnten die Strafverfolger die Nachladefunktion f\u00fcr Schadsoftware \u00fcber die C&C-Server modifizieren und eigene Module auf den infizierten Opfer-Systemen installieren. Die Schadfunktionen wurden gleichzeitig deaktiviert. Gleichzeitig k\u00f6nnen die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren. Sicherheitsforscher ist zudem aufgefallen, dass eine Deinstallationsroutine auf die Systeme gelangte, die die Malware am 25. April 2021 deinstallieren soll. Ich habe im Blog-Beitrag Emotet deinstalliert sich angeblich am 25. April 2021<\/a> dar\u00fcber berichtet.<\/p>\n

Es ist aktuell unklar, welche Strafverfolger f\u00fcr die Quarant\u00e4ne- und Deinstallationsroutinen verantwortlich sind. Auch gab es Diskussionen, ob so etwas in Deutschland zul\u00e4ssig ist. Die US-Strafverfolger hatten in dieser Mitteilung<\/a> best\u00e4tigt, dass man international daran arbeite, infizierte Computer von Emotet zu s\u00e4ubern.<\/p>\n

Foreign law enforcement, working in collaboration with the FBI, replaced Emotet malware on servers located in their jurisdiction with a file created by law enforcement, according to the affidavit. This was done with the intent that computers in the United States and elsewhere that were infected by the Emotet malware would download the law enforcement file during an already-programmed Emotet update. The law enforcement file prevents the administrators of the Emotet botnet from further communicating with infected computers. The law enforcement file does not remediate other malware that was already installed on the infected computer through Emotet; instead, it is designed to prevent additional malware from being installed on the infected computer by untethering the victim computer from the botnet.<\/p><\/blockquote>\n

Dort hei\u00dft es nur, dass Updates an infizierte Rechner verteilt wurden, die verhindern, dass die dass die Administratoren des Emotet-Botnets weiter mit infizierten Computern kommunizieren. Dieses Update entfernt keine andere Malware, die bereits \u00fcber Emotet auf dem infizierten Computer installiert wurde. Sie soll aber verhindern, dass weitere Malware auf dem infizierten Computer installiert wird, indem sie den Computer des Opfers vom Botnet abkoppelt. FBI-Mitarbeiter haben zudem weltweit Hoster \u00fcber IP-Adressen informiert, die mit den Emotet-C&C-Servern kommunizieren, was auf infizierte Rechner hindeutet.<\/p>\n

In diesem Malwarebytes-Artikel<\/a> findet sich noch eine interessante Information. Auch dort wird angemerkt, dass das Einschleusen von Code \u00fcber ein Botnet ein heikles Thema ist, vor allem wegen der rechtlichen Konsequenzen, die solche Aktionen mit sich bringen. In der eidesstattlichen Erkl\u00e4rung des US-Justizministeriums (DOJ) sei vermerkt, wie die \"ausl\u00e4ndischen Strafverfolgungsbeamten, nicht FBI-Agenten, die Emotet-Malware, die auf einem Server in \u00dcbersee gespeichert ist, durch die von den Strafverfolgungsbeh\u00f6rden erstellte Datei ersetzt haben\". Es ist also eine Strafverfolgungsbeh\u00f6rde, wobei nicht klar ist, wer dahinter steckt.Bleeping Computer hatte beim BKA nachgefragt, hat aber laut diesem Artikel<\/a> keine weiteren Details mehr erfahren.<\/p><\/blockquote>\n

Details zur Deinstallation<\/h2>\n

Nun gibt es neue Erkenntnisse, was bei der Emotet-Deinstallation am 25. April 2020 passieren wird. Sicherheitsanalysten von Malwarebytes haben sich die Routinen angesehen und ihre Erkenntnisse publiziert<\/a> (siehe folgender Tweet<\/a>).<\/p>\n

\"Malwarebytes:<\/a><\/p>\n

Die ausgelieferte Datei EmotetLoader.dll<\/em> exportiert drei Funktionen zur Deinstallation der Malware. Eine Funktion enth\u00e4lt die Pr\u00fcfung, ob der 25. April 2021 erreicht oder \u00fcberschritten wurde. Trifft dies zu, wird die S\u00e4uberung \u00fcber eine Deinstallationsfunktion gestartet. Diese l\u00f6scht schlicht alle Dienste, die in Verbindung mit Emotet stehen. Zudem wird der Run<\/em>-Schl\u00fcssel in der Registrierung von Windows entfernt, so dass keine Emotet-Module mehr automatisch gestartet werden. Und es werden alle laufenden Emotet-Prozesse beendet. Die genauen Pfade zur Registrierung etc. lassen sich im Malwarebytes-Blog-Beitrag nachlesen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Cryptolaemus und der Kampf gegen Emotet<\/a>
\nEmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a>
\nWarnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a>
\nEmotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a>
\nEmotet-Trojaner\/Ransomware weiter aktiv<\/a>
\nMicrosoft warnt vor massiver Emotet-Kampagne<\/a>
\nEmotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a>
\nEmotet Malware als vermeintliches Word-Update getarnt<\/a><\/p>\n

Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a>
\nEmotet-Infektion an Medizinischer Hochschule Hannover<\/a>
\nEmotet C&C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a>
\nEmotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a>
\nEmotet zielt auf Banken in DACH<\/a>
\nRansomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a>
\nNeu Emotet-Kampagne zu Weihnachten 2020
\n<\/a>BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a>
\nEmotet deinstalliert sich angeblich am 25. April 2021<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Emotet-Malware wird am 25. April 2021 automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger auf infizierten Systemen installieren. Jetzt gibt es einige Details, was beim Deinstallieren passiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-243767","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243767","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243767"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243767\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243767"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243767"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243767"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}