Emotet僵尸網(wǎng)絡(luò)自2014年被發(fā)現(xiàn)以來，作為網(wǎng)絡(luò)安全最嚴重的威脅之一，已經(jīng)活躍了近七年之久。

　　該僵尸網(wǎng)絡(luò)的攻擊方式通常是通過電子郵件惡意附件來分發(fā)傳播TrickBot和Qbot等惡意軟件。

　　Emotet的攻擊通常會導致網(wǎng)絡(luò)被全面破壞。據(jù)美國國土安全部的估計，每次遭受Emotet感染，美國各州和地方政府都要花費100萬美元進行清理。此外，2019年，德國、柏林高等法院在遭遇Emotet襲擊后徹底重建了計算機系統(tǒng)。

　　在所有受感染的系統(tǒng)上部署贖金軟件的有效載荷，包括Qbot的ProLock或Egregor，以及TrickBot的Ryuk和Conti。

　　就在今年一月，歐洲刑警組織宣布他們已經(jīng)搗毀了臭名昭著的Emotet，并且開始向受感染的設(shè)備分發(fā)Emotet“自毀模塊”，該模塊會幫助受感染設(shè)備在2021年4月25日自動卸載Emotet分發(fā)的惡意軟件。

　　在4月25日，該“自毀模塊”已經(jīng)生效，全球范圍內(nèi)受Emotet影響的設(shè)備都已刪除了僵尸網(wǎng)絡(luò)所帶來的惡意軟件。

　　Emotet“自毀模塊”如何工作

　　在1月，歐洲刑警組織以32位EmotetLoader.dll的形式分發(fā)了一個Emotet模塊，該模塊將在2021年4月25日自動卸載該惡意軟件。

　　該模塊被觸發(fā)后，只刪除相關(guān)的Windows服務(wù)、自動運行注冊表鍵，然后退出該進程，被攻擊設(shè)備上的其他一切都不會有影響。

　　被推遲的“自毀”程序

　　據(jù)悉，之所以沒有在1月立馬運行該“自毀模塊”是因為警方希望收集證據(jù)以及為清理前的準備工作提供時間。

　　在清理之前，需要對受影響的系統(tǒng)進行識別，以便抓住證據(jù)并使有關(guān)用戶能夠進行全面的系統(tǒng)清理，防止進一步的犯罪。

　　為此，警方對軟件的通信參數(shù)進行了調(diào)整，使受害者系統(tǒng)不再與犯罪者的基礎(chǔ)設(shè)施進行通信，而是與為扣押證據(jù)而建立的基礎(chǔ)設(shè)施進行通信。對于是否還有其他原因，警方表示不便透露更多細節(jié)。

　　目前尚不清楚Emotet是否會“死灰復燃”，或者換個“馬甲”殺回來。