Emotet 惡意軟體：傳播方式及自我防護

---

Emotet 是一種最初被建立為銀行木馬的計算機病毒。其目標是訪問海外裝置並竊取私人資訊。據報道，一些基本的防病毒程式會被 Emotet 欺騙，從而使其隱藏起來。一旦啟用，該惡意軟體就會像計算機蠕蟲一樣傳播，並試圖訪問其他聯網系統。

垃圾郵件是 Emotet 主要傳播方式。相關電子郵件包含一個危險連結或損壞的檔案。如果您下載該檔案或點選該連結，則會自動將其他惡意軟體下載到您的計算機上。由於電子郵件看起來非常具有說服力，許多人因此成為了 Emotet 的受害者。

Emotet 最初是在 2014 年德國銀行客戶受到木馬攻擊時被發現的。客戶的登入資訊被洩露給了 Emotet。在接下來的幾年裡，該病毒最終在全球範圍內傳播。隨著 Emotet 從銀行木馬轉變為 Dropper，它現在可以將惡意軟體重新載入到目標系統中。然後由這些惡意軟體造成系統實際損害。

Emotet 使用了一些功能，可以幫助該程式避開某些反惡意軟體工具的檢測。Emotet 使用類似蠕蟲的特性傳播到其他連線的計算機。這有助於惡意軟體的傳播。由於此功能，美國國土安全部得出結論，Emotet 是最昂貴和破壞性最強的惡意軟體之一，影響著公共和私營部門以及個人和組織，導致每個事件的清理成本高達 100 萬美元。

惡意連結、啟用宏的文件檔案或惡意指令碼都可以傳播感染。Emotet 電子郵件可能會使用知名品牌來使其看起來真實可信。Emotet 可能會使用關於“您的發票”、“付款詳情”或來自知名快遞公司的即將到來的貨物等誘人的文字，試圖誘騙人們點選惡意檔案。

Emotet 經歷了多個版本迭代。早期版本帶有感染的 JavaScript 檔案。後來的版本開始使用支援宏的文件從攻擊者的命令和控制 (C&C) 伺服器下載病毒有效載荷。

為了避免被發現和分析，Emotet 使用多種技術。值得注意的是，Emotet 可以檢測它是否在虛擬機器 (VM) 中執行。如果發現沙盒環境（網路安全研究人員用於在安全環境中研究惡意軟體的工具），它將進入休眠狀態。

Emotet 如何傳播？

惡意垃圾郵件是 Emotet 主要傳播方式。Emotet 在梳理您的聯絡人列表後，會向您的朋友、家人、同事和客戶傳送訊息。由於這些電子郵件來自您被入侵的電子郵件帳戶，因此看起來不太像是垃圾郵件，因此收件人更有可能點選危險連結並下載惡意檔案，因為他們感覺更安全。

如果存在網路，Emotet 會使用常用密碼列表，併發起暴力破解攻擊以訪問其他連線的系統。如果重要的人力資源伺服器的密碼只是“password”，那麼 Emotet 很可能會進入該系統。

它以狐狸般的方式運作，非常狡猾且難以捕捉。直到您點選破壞按鈕，它才會處於活動狀態。只需點選一下，受影響的系統就會陷入困境。與其處理這種惡意軟體的存在，不如一開始就阻止它進入您的計算機。

構成 Emotet 的全球伺服器網路中的每個伺服器都至少包含一個用於控制受害者電腦和傳播新惡意軟體的獨特功能。一旦啟用，它就會訪問您的郵件列表訂閱者以及朋友和家人的收件箱。

Emotet 惡意軟體透過暴力破解攻擊滲透到任何連線的裝置。如果網路在連線到其他裝置時激活了此病毒，則 Emotet 會使用多種密碼猜測方法來透過任何連接獲取訪問許可權。Emotet 可以識別連線裝置上儲存為“password”的密碼。

Emotet 惡意軟體通常由網路犯罪分子使用垃圾郵件啟動，有時可以避開垃圾郵件過濾器。他們透過使用受害者聯絡人中的人員姓名，使這些電子郵件看起來很真實。受害者在意識到郵件來自熟悉來源後，就會點選郵件。

您可能想知道，如果您天真地點選 Emotet 文件中的連結或檔案，會發生什麼情況。您的系統會觸發宏程式碼，然後立即發起攻擊。

第二次更新包括一種傳送資金以及多個銀行和垃圾郵件模組的方法。當網路世界仍在努力應對這種發展時，另一個版本偷偷潛入了公眾視野。這一次，它憑藉隱秘旅行的功能向前發展，為騙子奠定了基礎。

為了瞭解這種惡意軟體的傳播方式，專家們進行了一項研究。似乎 Emotet 使用 TrickBot 而不是 EternalBlue/DoublePulsar 漏洞來傳播感染。TrickBot 用於長期攻擊，而 Emotet（一個完全獨立的惡意軟體）則承載了事件。

如何保護自己免受 Emotet 惡意軟體的侵害？

您可以採取以下措施來保護自己免受 Emotet 惡意軟體的侵害：

• 保持更新。隨時瞭解 Emotet 的任何新發展。您可以透過多種方式做到這一點，包括閱讀卡巴斯基資源中心或進行自己的研究。

• 儘快安裝製造商提供的安全升級，以幫助您堵住任何潛在的安全漏洞。這適用於所有應用程式軟體、瀏覽器外掛、電子郵件客戶端、Office 和 PDF 程式，以及 Windows 和 macOS 等作業系統。

• 安裝完整的病毒和惡意軟體防護工具，例如卡巴斯基網際網路安全軟體，並確保它定期掃描您的機器是否存在漏洞。這將為您提供抵禦最新病毒、惡意軟體等的最佳防禦。

• 避免下載可疑的電子郵件附件和點選可疑的 URL。如果您不確定電子郵件是否是詐騙郵件，請不要冒險，並聯系發件人。在任何情況下都不要同意在下載的檔案上執行宏。相反，您應該立即刪除該檔案。透過這樣做，您將阻止 Emotet 擁有任何訪問您計算機的機會。

• 定期建立資料的備份，並將其儲存在外部儲存裝置上。在發生感染的情況下，您始終需要保留備份以供恢復，這意味著您不會丟失裝置上的所有資料。

• 對於所有登入，僅使用強密碼（網上銀行、電子郵件帳戶、網上商店）。這裡指的是字母、數字和特殊字元的隨機組合，而不是您第一隻寵物的名字。您可以自己想出這些密碼，也可以使用不同的應用程式為您生成密碼。如今，許多程式還允許使用者選擇雙因素身份驗證。

• 副檔名 - 將您的計算機設定為自動顯示副檔名。這使您可以識別可疑檔案，這些檔案通常包含有害程式，例如“Photo123.jpg.exe”。

如何刪除 Emotet？

首先，如果您認為您的計算機上可能存在 Emotet，請不要驚慌。因為您的電子郵件聯絡人中的其他人也可能面臨風險，請讓您周圍的人瞭解感染情況。

為了減少 Emotet 傳播的機會，如果您的計算機連線到網路，請務必將其隔離。然後，您應該更新所有帳戶的登入資訊（電子郵件帳戶、Web 瀏覽器等）。在未受汙染或使用相同網路的不同裝置上執行此操作。

Emotet 是一種多型病毒，這意味著每次訪問它時，其程式碼的一小部分都會發生變化。因此，如果一臺已清理的計算機連線到受感染的網路，它可能會非常快地再次被感染。因此，您必須一次擦除連線到網路的每臺計算機。為了幫助您執行此操作，請使用防病毒應用程式。或者，您可以向專業人士尋求建議和幫助，例如您的防病毒軟體供應商。

EmoCheck

EmoCheck 是一種工具，日本 CERT（計算機應急響應小組）聲稱將使用它來檢查您的裝置是否存在 Emotet 感染。但是，EmoCheck 無法 100% 保證您的計算機沒有感染，因為 Emotet 是多型的。

EmoCheck 檢測常見的字元模式，並提醒您可能存在木馬。重要的是要記住，病毒的變異能力並不意味著您的計算機實際上沒有惡意軟體。

特洛伊木馬 Emotet 是計算機安全史上最危險的病毒之一。任何人都可能成為受害者，包括個人、企業甚至國際政府，因為一旦該木馬感染系統，它就會重新載入其他間諜軟體來監視您。

Emotet 的許多受害者經常被勒索支付贖金以恢復其資料。不幸的是，沒有完全防止 Emotet 感染的補救措施。不過，可以透過採取一些措施來降低感染的可能性。

如果您認為您的計算機可能感染了 Emotet，則應按照本文中的說明進行清理，並確保您擁有強大的防病毒程式來保護您。