《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 頭號僵尸網絡Emotet被聯(lián)手制裁后,終于在世界范圍內“自我毀滅”

頭號僵尸網絡Emotet被聯(lián)手制裁后,終于在世界范圍內“自我毀滅”

2021-04-27
來源:關鍵基礎設施安全應急響應中心
關鍵詞: Emotet 僵尸網絡

  Emotet僵尸網絡自2014年被發(fā)現(xiàn)以來,作為網絡安全最嚴重的威脅之一,已經活躍了近七年之久。

  該僵尸網絡的攻擊方式通常是通過電子郵件惡意附件來分發(fā)傳播TrickBot和Qbot等惡意軟件。

  Emotet的攻擊通常會導致網絡被全面破壞。據美國國土安全部的估計,每次遭受Emotet感染,美國各州和地方政府都要花費100萬美元進行清理。此外,2019年,德國、柏林高等法院在遭遇Emotet襲擊后徹底重建了計算機系統(tǒng)。

  在所有受感染的系統(tǒng)上部署贖金軟件的有效載荷,包括Qbot的ProLock或Egregor,以及TrickBot的Ryuk和Conti。

  就在今年一月,歐洲刑警組織宣布他們已經搗毀了臭名昭著的Emotet,并且開始向受感染的設備分發(fā)Emotet“自毀模塊”,該模塊會幫助受感染設備在2021年4月25日自動卸載Emotet分發(fā)的惡意軟件。

  在4月25日,該“自毀模塊”已經生效,全球范圍內受Emotet影響的設備都已刪除了僵尸網絡所帶來的惡意軟件。

  Emotet“自毀模塊”如何工作

  在1月,歐洲刑警組織以32位EmotetLoader.dll的形式分發(fā)了一個Emotet模塊,該模塊將在2021年4月25日自動卸載該惡意軟件。

  該模塊被觸發(fā)后,只刪除相關的Windows服務、自動運行注冊表鍵,然后退出該進程,被攻擊設備上的其他一切都不會有影響。

  微信圖片_20210427153403.jpg

  被推遲的“自毀”程序

  據悉,之所以沒有在1月立馬運行該“自毀模塊”是因為警方希望收集證據以及為清理前的準備工作提供時間。

  在清理之前,需要對受影響的系統(tǒng)進行識別,以便抓住證據并使有關用戶能夠進行全面的系統(tǒng)清理,防止進一步的犯罪。

  為此,警方對軟件的通信參數(shù)進行了調整,使受害者系統(tǒng)不再與犯罪者的基礎設施進行通信,而是與為扣押證據而建立的基礎設施進行通信。對于是否還有其他原因,警方表示不便透露更多細節(jié)。

  目前尚不清楚Emotet是否會“死灰復燃”,或者換個“馬甲”殺回來。


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。