Японский сертификат выпустил новую версию своей утилиты Emocheck для обнаружения новых 64-разрядных версий эмотского вредоносного ПО, которая начала заражать пользователей в этом месяце. Emotet является одним из наиболее активно распределенных вредоносных программ, распространяющихся по электронной почте, используя фишинговые электронные письма со злонамеренными вложениями, включая документы Word/Excel, ярлыки Windows, файлы ISO и защищенные паролем файлы ZIP.
Фишинговые электронные письма используют креативные приманки, чтобы обмануть пользователей открывать вложения, включая электронные письма с ответами, уведомления о доставке, налоговые документы, отчеты о бухгалтерском учете или даже приглашения на праздничные вечеринки.
Как только устройство заражено, Emotet будет красть электронные письма пользователей, которые будут использоваться в будущих фишинговых атаках, и загружают дополнительные полезные нагрузки на компьютер. Поскольку дальнейшее вредоносное ПО, как правило, приводит к краже данных и атакам вымогателей, крайне важно быстро обнаружить инфекции вредоносных программ, прежде чем будет нанесено дальнейшее повреждение.
В 2020 году Японская CERT (Компьютерная служба реагирования на экстренную помощь) выпустила бесплатный инструмент под названием EmoCheck для сканирования компьютера на предмет эмотет-инфекций. Тем не менее, в начале этого месяца банда Emotet переключилась на 64-разрядные версии своих погрузчиков и кражи, делая существующие обнаружения менее полезными. Кроме того, с помощью этого переключателя инструмент Emocheck больше не мог обнаружить новые 64-разрядные версии.
Emotet в настоящее время устанавливается в случайной папке в C: \ users \ [username] \ appdata \ local. В то время как вредоносное ПО является DLL, оно не будет иметь расширения DLL, а скорее случайное расширение с тремя буквами, например .bbo или .qvp. Emocheck также создаст журнал в той же папке, что и программа, которая содержит обнаруженную информацию, позволяя вам ссылаться на ее по мере необходимости.
Если вы запустите Emocheck и обнаружите, что вы заражены, вам следует немедленно открыть диспетчер задач и прекратить перечисленный процесс, обычно Regsvr32.exe.
Источник: secure news