Emotet僵尸网络于2014年被发现,作为网络安全最严重的威胁之一,活跃了近七年。僵尸网络通常通过恶意电子邮件附件传播TrickBot和Qbot等恶意软件。Emotet的攻击通常会导致整个网络中断。根据美国国土安全部的估计,每个Emotet感染都要花费州和地方政府100万美元来清理。此外,2019年,德国柏林高等法院在Emotet攻击后完全重建了计算机系统。在所有受感染的系统上部署勒索软件负载,包括Qbot的ProLock或Egregor,以及TrickBot的Ryuk和Conti。就在今年1月,欧洲刑警组织宣布他们已经捣毁了臭名昭著的Emotet,并开始向受感染的设备分发Emotet“自毁模块”,这些设备会在2021年4月25日自动卸载它。Emotet分发的恶意软件。4月25日,“自毁模块”生效,全球受Emotet影响的设备已将恶意软件从僵尸网络中移除。Emotet“自毁模块”是如何工作的1月份,欧洲刑警组织分发了一个Emotet模块作为32位EmotetLoader.dll,它将在2021年4月25日自动卸载恶意软件。模块被触发后,它只会删除相关的Windows服务,自动运行注册表项,然后退出进程。受攻击设备上的所有其他内容都不会受到影响。延迟“自毁”程序据悉,1月份“自毁模块”之所以没有立即运行,是因为警方想收集证据,为清理前的准备工作提供时间。在清理之前需要确定受影响的系统,以便收集证据并使相关用户能够执行完整的系统清理,从而防止进一步的犯罪。为此,警方调整了软件的通信参数,使受害系统不再与作案者的基础设施通信,而是与为扣押证据而建立的基础设施通信。是否有其他原因,警方表示不便透露更多详情。目前尚不清楚Emotet是会“复活”还是披上“马甲”回来。来源:bleepingcomputer
