Schützen Sie sich vor gefährlichen „Emotet“ Anhängen der „Dynamit-Phishing“ Trojaner-Welle

Schützen Sie sich vor gefährlichen „Emotet“ Anhängen der „Dynamit-Phishing“ Trojaner-Welle

2018

Wie die Computerzeitschrift Heise (heise.de) berichten haben das BSI, CERT-Bund und die Spezialisten des LKA vor einer neuen Welle mit Crypto-Trojanern gewarnt, die nun in einer Welle auf Firmen zukommen könnte. Man warnt vor Millionenschäden.

Bereits im November hat das ZAC Niedersachsen darauf hingewiesen, dass sich die Malware „Emotet“ massiv über E-Mailanhänge verbreitet. Der Trojaner ist in einem Microsoft Word Dokument anghängt und wird als Script ausgeführt. In der Folge liest er dann Ihre Adressbücher aus und schreibt weitere Mails an Kunden und Lieferanten und verbreitet sich so weiter. Über eine Windows Lücke verbreitet sich dann dieser Trojaner von System zu System in Ihrem Netzwerk und lädt auch andere Module nach. Darunter können dann auch Crypto-Trojaner sein, mit denen Sie auf Geld für Ihre Daten erpresst werden. Image-Schaden etc. sind gratis dabei.

Deswegen möchten wir heute Sie als unsere Kunden alarmieren und auch kurz eine Empfehlung aussprechen. Wir selbst setzen beim Mail-Programm auf Tobit david(r). Glücklicherweise können dessen Addressbücher nicht so einfach wie bei Outlook ausgelesen werden. Die meiste Malware setzt natürlich auf Mainstream Produkte. So bedarf es eines Microsoft Word, damit das in den Anhang gepackte Script funktioniert. Falls Sie also Tobit und Microsoft Word installiert haben sind Sie zunächst trotzdem gefährdet – werden aber vermutlich den Trojaner nicht weiter verbreiten.

Bei Karley setzen wir daher weniger bekannte Software zum Briefe schreiben an, die keine VBS Scripte unterstützt. Die wenigsten Firmen benötigen auch eine Software mit der man sowohl ein Angebot als auch einen Roman schreiben kann. Ein guter Schutz ist auch die Verwendung von Libre Office oder Open-Office, da diese zunächst einmal alle Scripte blockieren, so das hier auch Emotet nicht weiter kommt. Über die üblichen Firewalls und Virenschutz-Software (Tobit Message Identification und Virenschutz) .. oder Appliances wollen wir nicht reden, sondern um einfache mittel die Tobit david(r) bereits mit sich bringt:

Blocken Sie einfach Nachrichten mit Anhängen oder betrachten Sie diese grundsätzlich kritisch. Bislang ist kein Trojaner über PDFs uns bekannt. Um das zu erreichen bietet Tobid david(r) einfache Regeln an, die Sie anpassen können. Dazu klicken Sie im david(r) navitor über einem Ordner (z.B. unverteilt) die rechte Maustaste und klicken im Menü auf „Regeln“.

Wir nennen diese Regeln einmal „Gefährliche Anhänge“

Jetzt können wir entscheiden, ob wir diese Mails immer löschen möchten, oder aber z.B. in einen Ordner verschieben. Wenn es sein kann, das Ihnen Kunden wirklich mal solche Dokumente versenden, sollten sie es nicht grundsätzlich ablehnen. Sonst wird die Kommunikation mit Ihren Kunden recht schwer. Aus diesem Grund zeigen wir Ihnen wie wir solche Dokumente mit Anhängen erst einmal in einen Ordner verschieben.

Als nächstes legen Sie die Bedingungen fest. Wir sehen als schlimmste Endungen folgende: .exe .vbs .reg .doc .docx .htm .html . Sie könnten natürlich noch weitere oder andere Endungen filtern. Auch *.* ist denkbar, wenn Sie alle Mails mit Endungen vorher überprüfen lassen möchten.

Diese Regeln verschieben wir dann in einen Ordner. Wir haben dafür einen Ordner erstellt, den wir SPAMVErDACHT nennen.

In der Folge landen nun alle Mails mit einem Anhang der obigen Endungen im Ordner SPAM Verdacht. So ist zunächst einmal sichergestellt, das kein Mitarbeiter mal unbedacht diese Mails öffnet. Natürlich können Sie auch als Ziel einen anderen Ordner wählen, auf den z.B. nur ein Mitarbeiter der EDV Zugriff hat.

Diese Mails sollten dann – nach Möglichkeit auf einer VM mit beschränktem Netzwerkzugriff – ohne Office und mit einem Virenschutz überprüft werden. Denkbar ist es auf der VM z.B. nur einen Tobit Client oder Thunderbird per Mail-Access zu installieren. Die Anhänge sollte man dann mittels Virenscanner – oder online (totalvirus) überprüfen. Programme sollte man niemals ausführen – es sei denn Sie haben drauf gewartet und es ist abgesprochen. Der geschulte Mitarbeiter prüft dann die Anhänge und kann Sie im Zweifel intern dem richtigen Ansprechpartner weiterleiten.

Die Prüfung muss natürlich auch sehr vorsichtig geschehen. Wir empfehlen bei den VMs auch unbedingt Wiederherstellungspunkte, so das nach jedem Test die VM wieder zurückgesetzt wird.

Weitere Fragen zu Tobit und Virenschutz beantworten Ihnen unsere Mitarbeiter gerne.

Die Quellen zum nachlesen: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html