Обновленный EmoCheck теперь обнаруживает новые 64-битные версии вредоносного ПО Emotet
Японский CERT (команда реагирования на компьютерные чрезвычайные ситуации) выпустил новую версию своей утилиты EmoCheck для обнаружения новых 64-битных версий вредоносной программы Emotet, которая начала заражать пользователей в этом месяце.
Emotet является одной из наиболее активно распространяемых вредоносных программ, распространяемых по электронной почте с помощью фишинговых писем с вредоносными вложениями, включая документы Word/Excel, ярлыки Windows, файлы ISO и защищенные паролем zip-файлы.
Специалисты в области кибербезопасности считают, что Emotet является "самым опасным ботнетом из всех существующих", поскольку она объединяет зараженные устройства во всемирную ботнет-систему, контролируемую хакерами.
В фишинговых письмах используются креативные приманки, чтобы заставить пользователей открыть вложения, включая письма в ответной цепочке. Это могут быть уведомления о доставке, призовых выплатах, налоговые документы, бухгалтерские отчеты, приглашения на праздничную вечеринку и прочая заманчивая "чушь". Как правило тема письма очень лаконична и может состоять всего из одного слова "Зарплата", "Оплата"
После заражения устройства Emotet похищает электронные письма пользователей для проведения последующих фишинговых атаках уже с использованием ответных цепочек и загружает на компьютер дополнительные вредоносные программы.
Поскольку дальнейшее распространение вредоносного ПО обычно приводит к краже данных и атакам с выкупом, очень важно быстро обнаружить заражение Emotet, прежде чем будет нанесен дальнейший ущерб.
Обновленный EmoCheck для 64-битных систем
В 2020 году JPCERT выпустил бесплатный инструмент под названием EmoCheck для сканирования компьютера на наличие Emotet-инфекций.
В случае обнаружения таковой он покажет полный путь к заражению вредоносным ПО, чтобы его можно было удалить.
Однако в начале этого месяца банда Emotet перешла на 64-битные версии своих вредоносных программ, что сделало существующие средства обнаружения практически бесполезными. После эволюционного перестроения вредоносного ПО, инструмент EmoCheck уже не мог обнаружить новые 64-битные версии Emotet.
На этой неделе JPCERT выпустил EmoCheck 2.2 для работы в 64-битных системах, который теперь может искать и детектировать обновленный зловред Emotet.
Для проверки на инъекцию Emotet в вашей системе необходимо загрузить утилиту EmoCheck из репозитория GitHub компании Japan CERT.
После загрузки дважды щелкните по файлу emocheck_x64.exe (64-битная версия) или emocheck_x86.exe (32-битная версия), в зависимости от того, что вы скачали.
EmoCheck выполнит проверку на наличие трояна Emotet и, если вредоносная программа будет обнаружена, покажет идентификатор процесса, под которым она запущена, и местоположение DLL-библиотеки вредоносной программы.
В настоящее время Emotet устанавливается в случайную папку C:\Users\[имя пользователя]\AppData\Local. Хотя вредоносная программа Emotet является DLL, она будет иметь не расширение DLL, а произвольное трехбуквенное расширение, например .bbo или .qvp.
Пример установленной вредоносной программы Emotet показан ниже.
EmoCheck также создаст журнал в той же папке, что и программа, в котором будет содержаться информация об обнаружении, что позволит вам ссылаться на него при необходимости
Если вы запустили EmoCheck и обнаружили, что заражены, вам следует немедленно открыть диспетчер задач и завершить указанный в списке процесс, обычно regsvr32.exe.
Затем следует просканировать компьютер с помощью надежного антивирусного программного обеспечения, чтобы убедиться, что на вашем устройстве нет других вредоносные программы.
Этот инструмент также может быть полезен администраторам Windows-систем, которые могут запускать его при входе в систему для обнаружения заражения Emotet в своей сети.