Emotet. Kuinka poistaa? (Poisto-ohjeet)
Emotet virus – vaarallinen pankkitroijalainen, joka voi asentaa Dridex ja Qakbot haittaohjelmat saastuneille laitteille
Emotet virus on pankkitroijalainen josta on tiedetty jo vuodesta 2014 alkaen. Tätä vaarallista ohjelmaa käytetään varastamaan henkilökohtaisia tietoja ja asentaa muita haittaohjelmia saastuneille koneille. Yleensä se leviää verkkourkinta sähköposteilla, joiden vaarallinen URL johtaa dokumenttiin, jossa on saastunut makrokomento. Kun käyttäjä avaa tämän dokumentin tai sallii makrot, niin haittaohjelman kuorma pudotetaan ja käynnistetään järjestelmään.
| Troijalaisen Yhteenveto | |
|---|---|
| Nimi | Emotet |
| Tyyppi | Pankkitroijalainen, verkkomato |
| Julkaisupäivä | 2014 |
| Pahiten saastuneet maat | Saksa, Itävalta, Sveitsi ja Yhdysvallat |
| Vaaran taso | Korkea. Leviää verkoissa ja saastuttaa kaikki yhdistetyt tietokoneet, varastaa pankkitiedot ja voi asentaa muita haittaohjelmia järjestelmään |
| AV tunnistus | Mal/Emotet-E, Troj/Inject-CRI, Troj/Agent-AWUQ, Troj/Wonton-ABA, Mal/Generic-S, C2/Generic-B, Mal/Emotet-*, HPmal/Emotet-A, HPmal/Emotet-B, Troj/EmotMem-A, Mal/EncPk-ACW |
| Levitystapa | Vaaralliset roskapostit, joissa on URL linkki, joka lataa vaarallisen makrodokumentin |
| Poisto | Emotet poistoon, asenna Reimage ja suorita täysi järjestelmän tarkistus |
Emotet käyttää heikkoja järjestelmänvalvojan salasanoja ja järjestelmän haavoittuvuuksia hyväkseen ja levittää itseään niiden avulla tietokoneiden verkkoon. Tätä edistynyttä verkkouhkaa käytetään pudottamaan haittaohjelmia kohdetietokoneille, pankkitietojen varastamiseksi.
Kun se on päässyt kohdetietokoneelle, niin Emotet virus yrittää saada järjestelmänvalvojan oikeudet. Jos se ei onnistu siinä, niin se käynnistää itseään muiden järjestelmän prosessien kanssa. Se tekee myös useita muutoksia järjestelmään, voidakseen käynnistyä järjestelmän kanssa, kerätä järjestelmätietoja, salata ne ja lähettää Command & Control palvelimelle.
Suurimmat turvaohjelmat tunnistavat tämän verkkouhan nimellä:
- Mal/Emotet-E
- Troj/Inject-CRI
- Troj/Agent-AWUQ
- Troj/Wonton-ABA
- Mal/Generic-S
- C2/Generic-B
- Mal/Emotet-*
- HPmal/Emotet-A
- HPmal/Emotet-B
- Troj/EmotMem-A
- Mal/EncPk-ACW
Vaikka troijalainen voidaan tunnistaa, niin Emotet poisto on kohtalaisen monimutkainen, sen erityisestä toiminnallisuudesta johtuen. Tämä mato on suunniteltu välttämään tunnistus. Esimerkki, haittaohjelma voi piilottaa itsensä prosessien alle, joilla on lunnaiden tai laillisen näköiset nimet, esimerkiksi wingroup.exe tai servicelog.exe.
Emotet liittyvät tiedostot ovat yleensä seuraavissa kansioissa:
- C:\Windows\
- C:\windows\system32\
- C:\Windows\Syswow64\
- C:\Users\\AppData\Local\Temp\
Me emme kuitenkaan suosittele tarkistamaan näitä sijainteja ja poistamaan vaarallisia tiedostoja manuaalisesti. Se ei ole tehokas tapa poistaa Emotet virusta laitteelta. Mato leviää verkon kautta, joten se voi asentaa itsensä uudelleen.
Tästä syystä on tärkeää, että kaikki saastuneen verkon tietokoneet on varustettu tehokkaalla antiviruksella. Vain tehokas haittaohjelman poistaja voi poistaa tämän verkkouhan kokonaan. Me todella suosittelemme käyttämään Reimage tai Plumbytes Anti-MalwareMalwarebytes Malwarebytes kunnolliseen troijalaiseen poistoon.
On tärkeää poistaa Emotet heti, koska haittaohjelma voi tuoda muita verkkotartuntoja järjestelmään. Viruss.lv asiantuntijat raportoivat, että tämä pankkimato voi tuoda Dridex tai Qakbot virukset saastuneeseen järjestelmään.
Valitse 'Safe Mode with Networking'
Valitse 'Enable Safe Mode with Networking'
Valitse 'Safe Mode with Command Prompt'
Valitse 'Enable Safe Mode with Command Prompt'
Kirjoita 'cd restore' ilman lainausmerkkejä ja paina 'Enter'
Kirjoita 'rstrui.exe' ilman lainausmerkkejä ja paina 'Enter'
Kun 'System Restore' ikkuna ilmaantuu, valitse 'Next'
Valitse palautuspiste ja klikkaa 'Next'
Klikkaa 'Yes' ja aloita järjestelmän palautus
Pankkitroijalaisen tunkeutuminen ja toiminnan omituisuudet
Tämän haittaohjelman kirjoittajat ovat levittäneet tätä haittaohjelmaa vaarallisten roskapostien avulla. Verkkourkinta posti saapuu roskaposti laskupostina tai ilmoituksena maksusta, jotta saadaan sinisilmäiset tietokoneen käyttäjät avaamaan kirjeeseen liitetty vaarallinen linkki.
Linkki ohjaa määrättyyn URL osoitteeseen, joka laukaisee saastuneen dokumentin latauksen, jossa on vaarallinen makrokomento. Dokumentissa oleva makro käynnistää cmd.exe sekä PowerShell sovellukset lataamaan haittaohjelman kuorman vaaralliselta sivulta.
URL linkkien lista, joiden tiedetään levittävän Emotet pankkitroijalaista:
- hxxp://vanguardatlantic[.]com/Invoice-number-7121315833-issue/;
- hxxp://abbeykurtz[.]com/VZZQNZJIZD9113942;
- hxxp://charly-bass[.]de/Copy-Invoice-0954/;
- hxxp://aplacetogrowtherapy[.]com/CNNKIAPGEP3572621.
Asennuksen jälkeen, haittaohjelman kopiot talletetaan seuraaviin kansioihin:
- System%\{string 1}{string 2}.exe;
- %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe.
Tämän lisäksi, IT-analyytikot sanovat, että vaarallinen ohjelma poistaa Alternate Data Streamin (tunnetaan myös nimellä Zone identifier), joka määrittää tiedoston lähteen, jonka yrität ladata Internet Explorer selaimella. Siksi on melkein mahdotonta tunnistaa troijalaista itse.
Pian tämän jälkeen, troijalainen kiertää järjestelmän rekisteröimällä järjestelmäpalvelun ja muokkaa Windows rekisterimerkintöjä, automaattikäynnistyksen sallimiseksi. Toisin sanoen, Emotet virus asettaa itsensä käynnistymään aina, kun käynnistät tietokoneen.
Ohjeet Emotet viruksen poistamiseen laitteelta
Kuten yllä on mainittu, tämä vaarallinen virus voi saastuttaa myös verkon muut tietokoneet. Jos viivytät Emotet poistoa, niin vaarannat oman ja muiden turvallisuuden. Ole myös varuillasi, että se on todella vaarallinen ohjelma, joka on ohjelmoitu piilottamaan olemassa olonsa ja jälkensä. Sen poistamisen yrittäminen itse voi johtaa peruuttamattomiin vahinkoihin järjestelmässä.
Me suosittelemme poistamaan Emotet viruksen niin pian kuin mahdollista tehokkaalla haittaohjelman poistajalla, kuten Reimage tai Malwarebytes MalwarebytesCombo Cleaner. Tämä pankkitroijalainen voi estää turvaohjelman asennuksen. Siksi sinun pitää käynnistää tietokoneesi Vikasietotilaan ja ladata se jälkeenpäin. Pian tämän jälkeen voit suorittaa täydellisen järjestelmän tarkistuksen ja poistaa haittaohjelman.
Pidä mielessäsi, että sinun pitää poistaa Emotet kaikilta verkon tietokoneilta. Jos suoritat järjestelmän tarkistuksen muutamaan kertaan ja silti löydät vaarallisia komponentteja, niin jotkut verkon laitteet ovat yhä saastuneita. Joten, troijalaisen poisto on monimutkainen tehtävä ja se vaatii kaikkien yhdistettyjen laitteiden puhdistuksen välittömästi.
Manuaalinen Emotet Poisto-ohje:
Poista Emotet käyttäen Safe Mode with Networking
Emotet troijalainen voidaan ohjelmoida estämään tehokkaan turvaohjelman asennus. Seuraa siis alla olevia ohjeita ja käynnistä tietokoneesi Vikasietotilaan verkolla:
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Networking
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Safe Mode with Networking listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Networking, Startup Settings ikkunassa.
-
Askel 2: Poisto Emotet
Kirjaudu saastuneelle tilillesi ja käynistä selain. Lataa Reimage tai jokin muu haittaohjelman poistaja. Päivitä se ja suorita järjestelmän täysi tarkistus ja poista lunnasohjelmalle kuuluvat tiedostot ja suorita Emotet poisto loppuun.
Jos lunnasohjelmasi estää Safe Mode with Networking toiminnan niin koeta seuraavaa tapaa.
Poista Emotet käyttäen System Restore
Jos et edelleenkään pysty poistamaan pankkitroijalaista, niin koeta Komentorivi tapaa. Alla olevat ohjeet neuvovat sinut prosessin suorittamisessa:
-
Askel 1: Käynnistä tietokoneesi uudelleen Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klikkaa Start → Shutdown → Restart → OK.
- Kun tietokoneesi aktivoituu niin ala painamaan F8 toistuvasti kunnes näet Advanced Boot Options ikkunan.
-
Valitse Command Prompt listalta
Windows 10 / Windows 8- Paina Power painiketta Windows kirjautumisruudussa. Nyt paina ja pidä Shift mikä on näppäimistössäsi ja klikkaa Restart.
- Valitse sitten Troubleshoot → Advanced options → Startup Settings ja paina lopuksi Restart
-
Kun tietokoneesi aktivoituu, valitse Enable Safe Mode with Command Prompt, Startup Settings ikkunassa.
-
Askel 2: Palauta järjestelmän tiedostot ja asetukset
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
-
Kirjoita sitten rstrui.exe ja paina Enter uudelleen..
-
Kun uusi ikkuna avautuu, klikkaa Next ja valitse haluamasi palautuspiste joka on ennen Emotet pääsyä koneelle. Klikkaa sen jälkeen Next.
-
Klikkaa nyt Yes aloittaaksesi järjestelmän palautuksen
-
Kun Command Prompt ikkuna ilmaantuu, kirjoita cd restore ja klikkaa Enter.
Lopuksi, sinun kannattaa aina ajatella suojautumista krypto-lunnasohjelmia vastaan. Voidaksesi suojella tietokonettasi Emotet ja muita lunnasohjelmia vastaan, käytä maineikasta haittaohjelman poistajaa, kuten Reimage, Malwarebytes MalwarebytesCombo Cleaner tai Plumbytes Anti-MalwareMalwarebytes Malwarebytes.
Kirjoittajasta
Jos tämä ilmainen poisto-ohje auttoi sinua ja olet tyytyväinen palveluumme, ole hyvä ja harkitse lahjoituksen tekemistä jotta voimme pitää tämän palvelun elossa. Jopa kaikkein pienin summa otetaan kiitollisuudella vastaan