Avaleht
uus teema   vasta Uudised »  Turvalisus »  ETTEVAATUST! Eestisse jõudis pahavaravõrgustiku Emotet uus laine märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Online

sõnum 19.08.2020 15:58 ETTEVAATUST! Eestisse jõudis pahavaravõrgustiku Emotet uus laine vasta tsitaadiga


Viimaste nädalate jooksul anti Riigi Infosüsteemi Ameti küberintsidentide käsitlemise osakonnale (CERT-EE-le) märku mitmest Emoteti pahavaravõrgustikuga nakatumisest Eestis. Teistele pahavaraperekondadele teenust pakkuv Emotet risustab küberruumi juba aastaid, juulis aktiveeriti võrgustik taas ning selle kaudu otsitakse ohvreid üle maailma.

Emoteti pahavara levitatakse üldiselt e-kirjadele lisatud dokumentide kaudu, kasutades juba kompromiteeritud kontodelt leitud meilivestlusi. Tuttavalt inimeselt või koostööpartnerilt tuleb sageli jätkuks senisele kirjavahetusele e-kiri, mille küljes on manus ja lakooniline teade, näiteks ingliskeelne „Please confirm” või „Manuses on uus arve“. Manus on näiliselt tavaline Wordi fail, mille avamisel on näha, et teatud makrosisu on keelatud. Selle lubamiseks peab tegema veel ühe kliki (inglise keeles „Enable Content”, eesti keeles „Luba sisu“).

Klikkides kas lubamise nupule või pildile, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja nakatumist ei märka. Nakatumise järel pakub Emotet teenust teistele pahatahtlikele rühmitustele, kes võivad Emoteti taristut kasutada oma pahavara arvutisse saatmiseks eesmärgiga varastada sealt tundlikke andmeid või postkasti sisu või nakatada arvuti hiljem näiteks faile krüpteeriva lunavaraga.

„Sellise pahavara puhul peab olema eriti valvas, sest sõnumi saatja, teemarida ja kaasas olev fail võivad välja näha täiesti usutavad,“ ütles CERT-EE infoturbe ekspert Joosep-Sander Juhanson. „Nakatumise vältimiseks tuleks ka tuttavalt inimeselt manusega kirja saades olla väga ettevaatlik. Kui e-kirja sisu või manuse kohta tekib vähimgi kahtlus, soovitame saatjaga telefoni või alternatiivse kanali kaudu ühendust võtta ja üle küsida,“ lisas Juhanson. Edasijõudnud arvutikasutajad saavad kahtlaseid manuseid kontrollida veebilehel https://cuckoo.cert.ee/. Kui testitav dokument annab tulemuseks punase hoiatuse, tuleks see saata aadressile cert@cert.ee.

Samuti tuleb silmas pidada, et kui e-kirja manuses olev fail (nt tavapärase laiendiga Wordi dokument) küsib avanedes veel millegi võimaldamist või sisu aktiveerimist, siis seda klikki teha ei tohiks. „Kui kiri tuleb su töömeilile, pöördu võimalusel kohe oma töökoha IT-toe poole, sest nii võid ära hoida suurema pahavaraga nakatumise oma töökohal. Makrosid kasutavaid dokumente saadetakse tänapäeval üliharva, suure tõenäosusega on sel juhul tegemist pahavaraga,“ rõhutas Juhanson.

Maailma enimkasutatud viirusetõrjeprogrammid teevad iga päev tööd, et tuvastada ja tõkestada uute pahavaraversioonide levikut. Kui tööandja kaudu ei ole võimalik IT-tuge saada ja on põhjust arvata, et sinu arvuti on pahavaraga nakatunud, soovitab CERT-EE kasutada mõnd laialt tuntud pahavara- või viirusetõrjeprogrammi (kõige uuemate signatuuridega), et arvuti üle kontrollida.

Eestis on teadaolevalt nakatumisi aset leidnud transpordi- ja tervishoiusektoris, ent kuna ühe arvuti nakatumisel suudab see pahavara väga kiiresti edasi levida, on mõjutatud sektoreid ilmselt rohkem.

Teateid Emoteti laialdasest levikust viimastel nädalatel oleme saanud ka oma partnerasutustelt teistes riikides, sealhulgas Soomes ja Lätis. Emotetiga nakatunud arvutitest moodustuvad kurjategijate kontrolli all olevad robotvõrgustikud, mille abil on võimalik ellu viia ka suurema mastaabiga ründeid. Emoteti peetakse üldse üheks ohtlikumaks ja salakavalamaks pahavaraks, mis on sellel suvel taas aktiivseks muutunud.

Allikas: www.ria.ee

_________________
HV valuutakalkulaator
HV kasutajate autode tabel


viimati muutis Tanel 28.08.2020 15:41, muudetud 1 kord
Kommentaarid: 456 loe/lisa Kasutajad arvavad:  :: 11 :: 7 :: 352
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
laurx
HV Guru
laurx

liitunud: 25.03.2004



Autoriseeritud ID-kaardiga

sõnum 19.08.2020 20:16 vasta tsitaadiga

https://blog.malwarebytes.com/detections/trojan-emotet/

https://github.com/JPCERTCC/EmoCheck

mingid tööriistad tunduvad olevat.

minu igapäevamasin on puhas. kas kellelgi see asi ka on?

_________________
Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER
Mulle helistades pead teadma, et kõned salvestatakse.
Kommentaarid: 992 loe/lisa Kasutajad arvavad:  :: 3 :: 0 :: 649
tagasi üles
vaata kasutaja infot saada privaatsõnum
RCC
HV Guru
RCC

liitunud: 03.12.2003



Autoriseeritud ID-kaardiga

sõnum 19.08.2020 20:37 vasta tsitaadiga

kasuta office 2003 või vanemat ja ongi kõõks
_________________
Kommentaarid: 182 loe/lisa Kasutajad arvavad:  :: 8 :: 1 :: 145
tagasi üles
vaata kasutaja infot saada privaatsõnum
laurx
HV Guru
laurx

liitunud: 25.03.2004



Autoriseeritud ID-kaardiga

sõnum 23.08.2020 10:12 vasta tsitaadiga

pole kellelgi masinas seda?
_________________
Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER
Mulle helistades pead teadma, et kõned salvestatakse.
Kommentaarid: 992 loe/lisa Kasutajad arvavad:  :: 3 :: 0 :: 649
tagasi üles
vaata kasutaja infot saada privaatsõnum
WAUZZZ
HV kasutaja
WAUZZZ

liitunud: 16.04.2010



Autoriseeritud ID-kaardiga

sõnum 23.08.2020 11:38 vasta tsitaadiga

laurx kirjutas:
pole kellelgi masinas seda?

Mida täpsemalt tahad? Jälgida kuidas asi toimib reaalses masinas või lihtsalt dropperi *.doc failinäidist? Viimast saan jagada, kuid iga laekuv kiri omab erisuguse räsiga manust, soovi korral saad ise tõmmata kuskil virtukas käima icon_smile.gif

21.08.2020 õhtul 21-paiku .ee domeenile laekunud sodi.
SHA256: 6988DEE0AEF45B6B2EC5E559E0924F10AA6F390FEC954167788F6B775D202C9D
Filename: form.doc
Siit justkui saab pahalase näidise kätte: https://bazaar.abuse.ch/sample/6988dee0aef45b6b2ec5e559e0924f10aa6f390fec954167788f6b775d202c9d/

_________________
Just my stupid and uneducated opinion.


viimati muutis WAUZZZ 23.08.2020 11:48, muudetud 1 kord
Kommentaarid: 26 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 26
tagasi üles
vaata kasutaja infot saada privaatsõnum
laurx
HV Guru
laurx

liitunud: 25.03.2004



Autoriseeritud ID-kaardiga

sõnum 23.08.2020 11:45 vasta tsitaadiga

ei. siin on hiljuti mõõdetud kas kell on piisavalt vale või õige, ma pidasin seda silmas, et lastakse oma mingeid masinaid tööriistadega üle ja leitakse või mitte.
sa arvatavasti haldad mingit postiserverit, sulle saabub neid kirju ka sellega?

_________________
Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER
Mulle helistades pead teadma, et kõned salvestatakse.
Kommentaarid: 992 loe/lisa Kasutajad arvavad:  :: 3 :: 0 :: 649
tagasi üles
vaata kasutaja infot saada privaatsõnum
Etz
HV Guru
Etz

liitunud: 27.01.2005



Autoriseeritud ID-kaardiga

sõnum 23.08.2020 11:52 vasta tsitaadiga

WAUZZZ, kas on tark seda linki siin, sellise klikitavana jagada? icon_rolleyes.gif
Pärast mõni idioot klikib ja avabki selle.

_________________
...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!

Kommentaarid: 201 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 174
tagasi üles
vaata kasutaja infot saada privaatsõnum
WAUZZZ
HV kasutaja
WAUZZZ

liitunud: 16.04.2010



Autoriseeritud ID-kaardiga

sõnum 23.08.2020 12:09 vasta tsitaadiga

laurx, viimase kahe nädala vältel on "eeter" kaks-kolm korda mürarohkem küll.
Etz, tegemist pole otselingiga pahavara sisaldavale failile, vaid pigem sellise üldise kokkuvõttega (räsid, failinimed, AV tuvastused). Sees on link näidisele, mis tuleb parooliga kaitstud arhiivi kujul alla, enne kuvatakse veel hoiatust kah, et tegu on päris pahavaraga.

Sattusin hiljuti lugema miskit uudist, et Emotet on tegelikult 6 kuud olnud suhteliselt varjusurmas tänu n-ö bugile, mida ekspluateeriti Windowsi registrivõtmete abil, ehk tegu on justkui "mitteametliku" killswitchiga. Kuskilt lugesin, et arendajad on nüüd asja kirjutanud ümber ja seepärast taas levib.
https://www.schneier.com/blog/archives/2020/08/vaccine_for_emo.html

_________________
Just my stupid and uneducated opinion.
Kommentaarid: 26 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 26
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tanel
HV Guru
Tanel

liitunud: 01.10.2001



Online

sõnum 28.08.2020 15:41 vasta tsitaadiga

https://forte.delfi.ee/news/tarkvara/ettevaatust-taas-arganud-ja-eriti-ohtlik-pahavara-on-nakatanud-eestis-juba-ule-saja-arvuti?id=90878371
_________________
HV valuutakalkulaator
HV kasutajate autode tabel
Kommentaarid: 456 loe/lisa Kasutajad arvavad:  :: 11 :: 7 :: 352
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
laurx
HV Guru
laurx

liitunud: 25.03.2004



Autoriseeritud ID-kaardiga

sõnum 18.09.2020 15:39 vasta tsitaadiga

https://majandus24.postimees.ee/7065735/tasuta-naomaskide-taga-peitis-end-ohtlik-viirus
_________________
Ketas, ketta, ketast, kettasse, kettas, kettast, kettale, kettal, kettalt, kettaks, kettani, kettana, kettata, kettaga. <--SPIKKER
Mulle helistades pead teadma, et kõned salvestatakse.
Kommentaarid: 992 loe/lisa Kasutajad arvavad:  :: 3 :: 0 :: 649
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Uudised »  Turvalisus »  ETTEVAATUST! Eestisse jõudis pahavaravõrgustiku Emotet uus laine
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.