Regionales Hochschulrechenzentrum Kaiserslautern

Emotet - Gefährliche Malware in Emails im Umlauf

Informationen zum Virus

Wie erkenne ich eine Emotet Malware-Email?

Die Emails von Emotet wirken wie Teil einer Kommunikation, die zuvor tatsächlich stattgefunden hat.

Wenn Sie eine E-Mail mit scheinbar bekanntem Thema von einem scheinbar bekannten Absender bekommen, die Sie gerade nicht erwarten und die unerwartete Anhänge oder Links beinhaltet, seien Sie mistrauisch.

Was macht Emotet und welchen Schaden richtet er an?

Die Schadsoftware verbreitet sich aktuell über Dynamit-Phishing-Mails mit Links auf Web-Seiten, die Emotet ausliefern. So werden Spam-Filter geschickt umgangen.

Die Schadsoftware bedient sich infizierten Office-Dateien, deren Makros durch die Benutzerinteraktion „Inhalte aktivieren“ das gesamte System infizieren.

Dieser Virus befällt vorrangig Windows-Systeme und Windows-Nutzerprofile. Sobald er einmal auf einem System ist, zieht er Zugangsdaten ab und lädt weitere Malware (bspw. Kryptotrojaner) nach und versucht sich innerhalb des Netzwerks selbständig weiter zu verbreiten. Aufgrund der damit verbundenen hohen Verbreitungsgeschwindigkeit handelt es sich um einen Virus mit sehr hohem Gefährdungsgrad.

Möglicherweise Emotet E-Mail erhalten?

Weiterleiten an antivirus(at)rhrk.uni-kl.de

Weitere Maßnahmen auf dieser Seite unbedingt beachten!

Anti-Virus Software

Das RHRK hat Sophos für Sie lizenziert.

Sophos Download im RHRK Serviceportal

 

 

Maßnahmen, wenn das eigene System betroffen ist

Sofortmaßnahmen

  • Trennen Sie das infizierte System sofort vom Netzwerk (LAN, WLAN und Mobilfunk)
  • Veranlassen Sie die Sperrung aller Accounts, die während und nach der vermuteten Infektion an dem System eingeloggt waren. Dazu wenden Sie sich an hotline(at)rhrk.uni-kl.de und Ihren Systemadministrator.

Zwingende weitere Schritte

  • zunächst Daten, die nur auf diesem System gespeichert sind, auf ein externes Medium (USB-Stick; USB-Festplatte) sichern. Dieses darf keine weiteren Daten enthalten und muss zunächst ungenutzt für 24 Stunden zur Seite gelegt werden (innerhalb dieser Zeit wird in der Regel Antivirensoftware auf den neuesten Stand aktualisiert).
  • Die betroffenen Windows-Systeme müssen vollständig neu aufgesetzt werden, da eine sichere Entfernung dieses Virus nicht möglich ist bzw. keine Verfahren hierfür publiziert sind.
  • Zentral gespeicherte Nutzerprofile müssen zurückgesetzt werden.
  • Sobald der Account nach Durchführen der vorgenannten Maßnahmen wieder entsperrt wird, muss der Nutzer sofort ein neues Passwort setzen.
  • Die gesicherten lokalen Daten auf dem externen Medium dürfen frühestens nach 24 Stunden auf Viren getestet und anschließend auf das bereinigte System aufgespielt werden. Dabei muss an einem Testsystem ein Scan der gesamten Daten mit einem aktuellen Virenscanner erfolgen (bspw. Sophos).

Wichtig!

auf einem potentiell infizierten System dürfen Sie sich auf keinen Fall mit einem Administrationspasswort anmelden, solange dieses System noch aktiv im Netz ist. Passwörter werden durch den Virus mit-/ausgelesen und zur weiteren Verbreitung genutzt.

Organisatorische Maßnahmen

  • Öffnen Sie keine Office-Dokumente, bei denen Sie nicht sicher sind, dass Sie das Dokument auch erwarten. Bei Dokumenten, bei denen Sie nicht sicher sind, fragen Sie bitte den Absender oder senden Sie dieses an antivirus(at)rhrk.uni-kl.de. Das RHRK übernimmt für Sie die Prüfung des Dokumentes.

Bei Fragen oder falls Sie Unterstützung rund um das Thema ‚Emotet' benötigen, können Sie sich gerne an das RHRK wenden (hotline(at)rhrk.uni-kl.de).

Weitere Informationen zu der Malware 'Emotet' finden Sie auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik (BSI):

www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Emotet/emotet.html

Dort werden auch weiterführende Maßnahmen beschrieben, die von administrativer Seite vorgenommen werden können um einer Infizierung vorzubeugen. 

Die dortigen Informationen sollten nach Möglichkeit in Ihrem Zuständigkeitsbereich umgesetzt werden. 

First Level Support

Service Point Adresse

Paul-Ehrlich-Straße
Gebäude 34, Raum 250, Erdgeschoß
67663 Kaiserslautern

Für Studierende und Mitarbeiter

Tel.: +49 631 205-3170 (Hotline)
E-Mail: hotline(at)rhrk.uni-kl.de

Für zentrale Verwaltung

Tel.: +49 631 205-5900
E-Mail: support(at)rhrk.uni-kl.de

Zum Seitenanfang