Emotet vīruss, nonācis datorā, jau pirmajās minūtēs ievāc ļoti daudz informācijas par lietotāju, un nosūta to uz saimniekserveri, lai izmantotu mērķētu uzbrukumu sagatavošanā vai pārdotu tālāk. Iegūto datu ļaunprātīga izmantošana ir tikai laika jautājums.
Ko darīt, ja mans dators ir inficēts?
Ja dators inficēts ar Emotet vīrusu (vai gandrīz jebkuru citu vīrusu), svarīgi veikt sekojošus drošības pasākumus:
- Atslēgt inficēto iekārtu no interneta;
- Ja inficēts darba dators, nekavējoties informēt tehniskā atbalsta nodaļu vai sistēmadministratoru, lai saņemtu profesionālu palīdzību;
- Lai pasargātu savu naudu, bloķēt maksājumu līdzekļus vai mainīt to piekļuves datus, ja tie izmantoti inficētajā iekārtā, pie kam šīm darbībām un saziņai ar finanšu iestādēm jāizmanto citu, “tīru” datoru vai mobilo ierīci.
- No citas, drošas (“tīras”) iekārtas nomainīt visas paroles, kas tika lietotas vai uzglabātas inficētajā iekārtā (e-pastiem, sociālajiem tīkliem, e-veikaliem, mākoņpakalpojumiem, visu paroļu pārvaldnieka saturu, ja tāds tika lietots, kā arī paroļu pārvaldnieka “master-key”).
Lai atjaunotu iekārtas darbību un apturētu vīrusa izplatību:
- Izveidot svarīgo datu rezerves kopiju, ja tāda jau nav izveidota;
- Veikt pilnīgu datora pārinstalāciju;
- Visām vietnēm un pakalpojumiem, kuriem tas tiek piedāvāts, izmantot daudzfaktoru autentifikāciju;
- Informēt savus kontaktus par iespējamu inficētu e-pastu izplatīšanu no jūsu konta.
Par Emotet
Sākotnēji Emotet tika radīts bankas piekļuves datu pārtveršanai, bet ar laiku tas tika attīstīts, iegūstot spējas zagt visdažādāko informāciju no inficētā datora - lietotājvārdus, paroles, e-pastu sarakstes, informāciju par iekārtu, apmeklētajām vietnēm, izmantoto infrastruktūru. Līdz ar to paroļu maiņa ar Emotet inficētā iekārtā nedos vēlamo rezultātu, lai pasargātu informāciju no noplūdes, arī jaunās paroles tiks pārtvertas.
Vēl bez informācijas ievākšanas Emotet inficētajā iekārtā lejuplādē papildu ļaunprogrammatūras. Katrā reizē to komplekts var būt atšķirīgs. Tas izslēdz iespēju “ārstēšanai” izmantot kādu konkrētu rīku kopumu. Vienīgā drošā metode šādos apstākļos ir iekārtas pilnīga pārinstalēšana.
Ja pirms pārinstalēšanas tiek veidota svarīgās informācijas rezerves kopija, tad jāņem vērā, ka tā tiek veidota no inficētas iekārtas un saturēs kaitīgo failu. Tas gan nenozīmē, ka, atjaunojot informāciju no rezerves kopijas, iekārta tiks automātiski inficēta. Tikai jāatceras, ka, ja tiek atvērts kāds dokuments un tiek pieprasīts iespējot Macros funkciju, to darīt nevajadzētu.
Par savas iekārtas inficēšanu vēlams informēt kolēģus, sadarbības partnerus un citus kontaktus, jo Emotet sevi izplata tālāk, izsūtot no inficētās iekārtas e-pastus ar kaitīgiem pielikumiem visiem adrešu grāmatiņā iekļautajiem kontaktiem, pie kam pievienojot e-pastam kādas esošas sarakstes fragmentu, lai tas izskatās pēc sarakstes turpinājuma. Ja no kāda paziņas tiek saņemts e-pasts ar pielikumu, bet tekstā pielikums nav pat pieminēts, būtu jākļūst piesardzīgam, jāignorē pielikums un jābrīdina sūtītājs par iespējamu inficēšanos.
Lietotājam inficēšanos pamanīt ir diezgan grūti. Uz to var norādīt lēnāka datora darbība vai pēkšņas problēmas ar antivīrusu, bet visbiežāk uz inficēšanos norāda sūdzības, ka no lietotāja pastkastītes tiek izsūtīts SPAM (mēstules) vai inficēti e-pasti. Tīkla administrators var novērot inficētā datora automātisku pieslēgšanos pie iekšējiem vai ārējiem tīkla resursiem (TCP porti: 25, 139, 3389).
Lai sevi pasargātu, aicinām neiespējot Macros, pārdomāti vērt vaļā e-pastus un pielikumus, kā arī brīdināt apkārtējos, ja esat inficējušies, un informēt paziņas, ja inficējušies ir viņi. Papildu aizsardzībai iespējams izmantot CERT.LV un NIC.LV kopīgi nodrošināto DNS ugunsmūri, kas bloķēs ar ļaunatūru saistītus tīkla pieprasījumus (vairāk informācijas dnsmuris.lv).