PROLINK internet communications GmbH
Merzhauser Str. 4
79100 Freiburg
fon: +49 (0)761 456 989 0
fax: +49 (0)761 456 989 99
info@prolink.de
http://www.prolink.de

Eskalierende Malware-Welle: EMOTET nicht eingedämmt

Vor ca. einem halben Jahr startete die bis dato anhaltende Welle von per Email verteilten Angriffen mit Word-Dokumenten, die unter dem Namen EMOTET geläufig ist. Diese erwies sich leider oft als sehr erfolgreich, da manche Opfer von Verschlüsselungsangriffen sich genötigt sahen, ein gefordertes Lösegeld zu bezahlen. Die Hinterleute der Schadsoftware haben das Konzept des ursprüglich 2014 erfundenen Schädlings inzwischen weiterentwickelt und spektakuläre Fälle im In- und Ausland häufen sich zur Zeit.

Die als .doc-Datei angehängten, infizierten "Rechnungen" stammen augenscheinlich von Kollegen oder Geschäftspartnern und beinhalten weitere zuvor gesammelte Informationen im Ansprachetext, um zum Öffnen des Dokuments zu verführen. Auch angebliche Bestellungen oder Bewerbungen auf angebotene Stellen können gefälscht und infiziert sein. Aufgrund der Vielzahl an Varianten muss daher grundsätzlich vor allen .doc Word-Dokumenten gewarnt werden. Auch hinter enthaltenen Links kann eine Klick-Falle stecken.

Die schädlichen DOC-Dateien enthälten direkt noch keinen Virus, sondern Makros, welche erst nach deren Aktivierung Schad-Software aus dem Internet nachlädt und startet. In darauf folgenden, mehreren Schritten wird nicht nur der benutzte PC, sondern oft auch andere Rechner im Firmennetz mit einem Virus infiziert. Oft wird dann eine Verschlüsselung der PC-Festplatten und Netzlaufwerke versucht, und die Entschlüsselung gegen anonyme Bezahlung angeboten.

Antiviren-Software ist unabdingbar, schützt aber alleine nicht ausreichend vor dieser Gefahr. Eine regelmässige Datensicherung sowie eine Firewall ergänzen diese sinnvoll. Auf keinen Fall sollte eine unerwartet per Email erhaltene Word-Datei geöffnet werden ohne zuvor persönlich nachzufragen. Falls dies aber geschieht: Auf keinen Fall sollten Sie dann der Aktivierung der Makros zustimmen ! Diese stellen eine Art Fernsteuerung für den Angreifer dar.

Das doc-Dateiformat wurde - im Wissen um das Gefahrenpotential - bereits vor über 10 Jahren durch das sicherere docX-Dateiformat abgelöst. In einer docX-Datei können solche Macros nicht enthalten sein. Es muss lediglich beim Abspeichern das Format "docX" statt "doc" ausgewählt werden. Gleiches gilt übrigens auch für Excel-Dateien (.xlsX).
Leider ist diese Umgewöhnung kaum erfolgt, da die Notwendigkeit nicht klar ersichtlich war. Somit basiert dieser Trojaner auf einer seit mehr als 10 Jahren behobenen Sicherheitslücke und der Macht der Gewohnheit. In vielen Bereichen ist nun das Dateiformat .doc aber nicht mehr erlaubt.

Eine Urfassung dieses Textes wurde ursprünglich im November 2018 hier veröffentlicht und nun mit einigen Anpassungen versehen und aufgrund der anhaltenden Aktualität erneut veröffentlicht.

 webMail
Helpcenter IconHelpcenter
Diese Webseite speichert Cookies auf Ihrem Gerät. Wenn Sie diese Seite weiterhin besuchen, erklären Sie sich damit einverstanden. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Sie können Cookies in Ihrem Browser löschen.
Diese Nachricht nicht mehr anzeigen.