{"id":252494,"date":"2021-04-26T19:15:15","date_gmt":"2021-04-26T17:15:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252494"},"modified":"2021-04-30T07:38:17","modified_gmt":"2021-04-30T05:38:17","slug":"malware-wird-automatisch-am-25-april-2021-deinstalliert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/26\/malware-wird-automatisch-am-25-april-2021-deinstalliert\/","title":{"rendered":"Emotet Malware wurde automatisch am 25. April 2021 deinstalliert"},"content":{"rendered":"

[English<\/a>]Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger bereits im Januar 2021 auf infizierten Systemen installieren lie\u00dfen.<\/p>\n

<\/p>\n

Emotet: Ein R\u00fcckblick<\/h2>\n

\"\"Emotet<\/a> ist eine Familie von Computer-Schadprogrammen in Form von Makroviren, welche die Empf\u00e4nger \u00fcber den Anhang sehr echt aussehender E-Mails mit Trojanern infizieren. Wenn ein Empf\u00e4nger die Anlage bzw. den Anhang der E-Mail \u00f6ffnet, werden Module mit Schadfunktionen nachgeladen und zur Ausf\u00fchrung gebracht.<\/p>\n

Die Emotet-Gruppe war f\u00fcr zahlreiche erfolgreiche Ransomware-Angriffe auf Firmen, Beh\u00f6rden und Institutionen weltweit verantwortlich. Emotet galt als derzeit gef\u00e4hrlichste Schadsoftware weltweit und hat neben Computern hunderttausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Beh\u00f6rden und Institutionen infiziert.<\/p>\n

Emotet besa\u00df als sogenannter \u201eDownloader\" die Funktion, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Aussp\u00e4hen von gespeicherten Passw\u00f6rtern oder zur Verschl\u00fcsselung des Systems f\u00fcr Erpressungen. Die Nutzung dieses durch die T\u00e4ter geschaffenen \u201eBotnetzes\" wurde zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der \u201eUnderground Economy\" gegen Entgelt angeboten. Deshalb kann das kriminelle Gesch\u00e4ftsmodell von Emotet als \u201eMalware-as-a-Service\" bezeichnet werden. In den am Beitragsende verlinkten Artikeln habe ich die Malware umfangreich thematisiert.<\/p>\n

\u00dcbernahme der Infrastruktur und Deinstallation<\/h2>\n

Durch die \u00dcbernahme der Emotet Command & Control-Server (C&C) im Januar 2021 konnten die Strafverfolger die Nachladefunktion f\u00fcr Schadsoftware \u00fcber die C&C-Server modifizieren, eigene Module auf den infizierten Opfer-Systemen installieren und die Schadfunktionen gleichzeitig deaktivieren. Ab da konnten die Opfer-Systeme nur noch mit den kontrollierten C&C-Servern kommunizieren.<\/p>\n

Bereits im Blog-Beitrag Details zur Emotet Deinstallation durch Strafverfolger<\/a> hatte ich dar\u00fcber berichtet, dass die Strafverfolger eine Deinstallationsroutine auf die Systeme brachten und planten, die Emotet-Malware zum 25. April 2021 automatisch von befallenen Systemen deinstallieren zu lassen. Dabei werden schlicht alle Dienste, die in Verbindung mit Emotet stehen, gel\u00f6scht. Zudem wird der Run<\/em>-Schl\u00fcssel in der Registrierung von Windows entfernt, so dass keine Emotet-Module mehr automatisch gestartet werden. Und es sollen alle laufenden Emotet-Prozesse beendet werden. Nachfolgender Tweet f\u00fchrt diese Funktionen auf.<\/p>\n

<\/p>\n

Am 25. April 2021 war es dann wohl so weit, wie die Kollegen bei Bleeping Computer hier anmerkten<\/a>. Dort liest man, dass das deutsche Bundeskriminalamt (BKA) federf\u00fchrend f\u00fcr diese Deinstallations-Funktionen aktiv war. heise hat diesen Artikel<\/a> zum Thema ver\u00f6ffentlicht, in dem auch auf die rechtlich wackelige Basis der Deinstallation der Malware abgestellt wird.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Cryptolaemus und der Kampf gegen Emotet<\/a>
\nEmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate<\/a>
\nWarnung vor neuer Emotet-Ransomware-Welle (Sept. 2020)<\/a>
\nEmotet w\u00fctet bei der Studienstiftung des deutschen Volkes<\/a>
\nEmotet-Trojaner\/Ransomware weiter aktiv<\/a>
\nMicrosoft warnt vor massiver Emotet-Kampagne<\/a>
\nEmotet-Trojaner kann Computer im Netzwerk \u00fcberlasten<\/a>
\nEmotet Malware als vermeintliches Word-Update getarnt<\/a><\/p>\n

Emotet-Trojaner-Befall in Berliner Oberlandesgericht<\/a>
\nEmotet-Infektion an Medizinischer Hochschule Hannover<\/a>
\nEmotet C&C-Server liefern neue Schadsoftware aus\u2013Neustadt gerade infiziert<\/a>
\nEmotet-Trojaner bei heise, Troy Hunt verkauft Website<\/a>
\nEmotet zielt auf Banken in DACH<\/a>
\nRansomware-Befall in DRK-Einrichtungen: Einfallstor bekannt<\/a>
\nNeu Emotet-Kampagne zu Weihnachten 2020
\n<\/a>BKA: Infrastruktur der Emotet-Schadsoftware \u00fcbernommen und zerschlagen<\/a>
\nEmotet deinstalliert sich angeblich am 25. April 2021<\/a>
\nDetails zur Emotet Deinstallation durch Strafverfolger<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zum 25. April 2021 wurde die Emotet-Malware automatisch von Windows-Maschinen entfernt. Das erfolgt durch eine Bereinigungsfunktion, die Internationale Strafverfolger bereits im Januar 2021 auf infizierten Systemen installieren lie\u00dfen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-252494","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252494","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252494"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252494\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252494"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252494"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252494"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}