Sākumlapa » Apdraudējumi » Datorvīruss Emotet turpina izplatīties Latvijā

Datorvīruss Emotet turpina izplatīties Latvijā

Pār Latvijas kibertelpu turpina savilkties tumši mākoņi datorvīrusa Emotet izskatā – nu jau CERT.LV ziņo par vairāk kā 200 inficētām organizācijām. Atgādināsim, ka vēl pagājušo piektdien kibertelpas uzraugi informēja par 160 cietušām valsts un pašvaldību iestādēm, kā arī privātā sektora uzņēmumiem.

Eksperti Emotet augsto bīstamību pamato ar to, ka tas, nonācis Windows datorā, jau pirmajās minūtēs ievāc ļoti daudz informācijas par lietotāju, un nosūta to uz saimniekserveri, lai izmantotu mērķētu uzbrukumu sagatavošanā vai pārdotu to tālāk. Iegūto datu ļaunprātīga izmantošana ir tikai laika jautājums.

Kā norāda CERT.LV, sākotnēji Emotet tika radīts tiešaistes banku piekļuves datu pārtveršanai, bet ar laiku tas tika attīstīts, iegūstot spējas zagt visdažādāko informāciju no inficētā datora – lietotājvārdus, paroles, e-pasta saraksti, informāciju par iekārtu, apmeklētajām vietnēm, izmantoto infrastruktūru. Līdz ar to paroļu maiņa ar Emotet inficētā iekārtā nedos vēlamo rezultātu, lai pasargātu informāciju no noplūdes, arī jaunās paroles tiks pārtvertas.

Vēl bez informācijas ievākšanas Emotet inficētajā iekārtā lejuplādē papildu ļaunprogrammatūru. Lietotājam inficēšanos pamanīt ir diezgan grūti. Uz to var norādīt lēnāka datora darbība vai pēkšņas problēmas ar antivīrusu, bet visbiežāk uz inficēšanos norāda sūdzības, ka no lietotāja pastkastītes tiek izsūtīti inficēti e-pasti. Tīkla administrators var novērot inficētā datora automātisku pieslēgšanos pie iekšējiem vai ārējiem tīkla resursiem (TCP porti: 25, 139, 3389).

Emotet izplatās ar e-pasta starpniecību, parasti nonākot pie potenciālā upura kā pievienots DOC fails. Ļaunprogrammatūras autori izmanto dažādus trikus, lai pamudinātu lietotāju ne tikai atvērt pievienoto failu, bet arī iespējot makro izpildi, ja tāda nav iestatīta automātiskai izpildei (šāds iestatījums nav ieteicams no drošības viedokļa – par makro iestatījumiem detalizēti lasiet “Makro iespējošana un atspējošana Office failos“).

Emotet ļaunprogrammatūras operatori izveido stilizētus Word dokumentus, kas paredzēti, lai maldinātu lietotāju un mudinātu noklikšķināt uz pogas “Enable Editing” un tad “Enable Content”, lai tiktu iespējots makro.

2. septembrī Emotet izsekošanas grupa Cryptolaemus ir atklāja, ka apritē parādījusies jauna dokumenta veidne, kas tiek uzdota kā izveidota operētājsistēmā Windows 10 Mobile (skat. ekrānuzņēmumu augstāk).

Pirms tam tika ziņots par veidni, kas lietotāju apmānīšanai imitēja aizsargātu dokumentu (skat. ekrānuzņēmumu augstāk).

Skaidrs, ka jebkurā brīdī var tikt izmantoti arī citi paņēmieni, lai pamudinātu potenciālo upuri uz neapdomīgam darbībām, tāpēc kiberdrošības eksperti aicina vērt vaļā e-pastus un pielikumus pārdomāti, kā arī lietot efektīvus aizsardzības risinājumus.

Pēdējās septiņās dienās Kaspersky e-pasta kiberdraudu statistikā Latvijā Trojan.MSOffice.SAgent.gen jeb Emotet ieņem 4. vietu.

Kaspersky kiberdrošības risinājumi detektē Emotet ar nosaukumu Trojan.MSOffice.SAgent.gen, bet jaunas versijas uzbrukuma sākotnējā fāzē, kamēr ļaunprogrammatūras paraugs nav apstrādāts laboratorijā, Emotet var tikt atvairīts arī ar agrīnās detektēšanas verdiktu UDS:DangerousObject.Multi.Generic.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 13 = 18

Uz augšu