Aktuelle Malware-Welle: Emotet hat Deutschland im Griff

Aktualisiert am 6.12.2018, 13.6.2019, 3.2.2020

Vor gut einem Jahr startete die bis dato anhaltende Welle von per Email verteilten Angriffen mit Word-Dokumenten, die unter dem Namen EMOTET geläufig ist. Diese erweist sich weiterhin als sehr erfolgreich, da manche Opfer von Verschlüsselungsangriffen das geforderte Lösegeld bezahlten und der ursprüglich 2014 erfundene Schädling kontinuierlich weiterentwickelt wird.

Die Liste der letzten bekannten "hochwertigen" Opfer der Emotet-Welle: das Land Potsdam, Stadt Brandenburg, Uni-Giessen, Stadtverwaltung Frankfurt am Main, Oberlandesgericht Berlin, Klinikum Fürth.. in vielen Fällen ist keine Fortsetzung der Arbeit mit der bestehenden EDV möglich. Die Kosten des Wiederaufbaus sowie eine Benennung des indirekten Schadens sind nicht überschaubar. Im Vergleich, was ein wirksamer Schutz im Vergleich gekostet hätte, um solche Katastrophen zu vermeiden: Sie benötigen durchgängig Antivirus + Firewall + Backup + Mitarbeiterschulung.

Die als .doc-Datei angehängten, infizierten "Rechnungen" usw. stammen von Kollegen, Geschäftspartnern oder Behörden und beinhalten weitere zuvor gesammelte Informationen im Ansprachetext, um zum Öffnen des Dokuments zu verführen. Auch angebliche Bestellungen oder Bewerbungen auf angebotene Stellen können gefälscht und infiziert sein. Aufgrund der Vielzahl an Varianten muss daher grundsätzlich vor .doc und .xls Office-Dokumenten gewarnt werden.
Die schädlichen Dateien enthälten direkt noch keinen Virus, sondern Makros, welche erst nach deren Aktivierung Schad-Software aus dem Internet nachlädt und startet. In darauf folgenden Schritten wird der benutzte PC sowie andere Rechner im Firmennetz mit einem Virus infiziert. Oft wird dann eine Verschlüsselung der PC-Festplatten und Netzlaufwerke versucht, und die Entschlüsselung gegen anonyme Bezahlung angeboten.

Antiviren-Software ist unabdingbar, schützt aber alleine nicht ausreichend vor dieser Gefahr. Eine regelmässige Datensicherung sowie eine Firewall ergänzen diese sinnvoll. Eine unerwartet per Email erhaltene Word-Datei darf daher nicht geöffnet werden, ohne zuvor persönlich nachzufragen. Falls dies aber versehentlich geschieht: Auf keinen Fall sollten Sie unbedacht der Aktivierung der Makros zustimmen ! Diese stellen eine Art Fernsteuerung für den Angreifer dar.

Das doc-Dateiformat wurde - im Wissen um das Gefahrenpotential - bereits vor über 10 Jahren durch das sicherere docX-Dateiformat abgelöst, bei welchem solche Macros nicht enthalten sein können. Es muss lediglich beim Abspeichern das Format "docX" statt "doc" ausgewählt werden.Gleiches gilt übrigens auch für Excel-Dateien (.xlsX).

Eine Urfassung dieses Textes wurde ursprünglich im November 2018 hier veröffentlicht , Mitte 2019 aktualisiert und nun mit einigen Anpassungen versehen und aufgrund der anhaltenden Aktualität erneut veröffentlicht.