Es ist wieder ein Verschlüsselungstrojaner im Umlauf: „Emotet Anders als 2018“ benutzt bereits empfangene E-Mails. DATEVnet blockiert den Trojaner mit einem eigenen Antiviren-Pattern.
Der Betreff der E-Mail bleibt dabei erhalten. Nach dem Trenner „—-Original Message—–“ ist der legitime E-Mailverkehr angehängt, der zwischen Absender und Empfänger tatsächlich stattgefunden hat.
Wie bei dem letzten Trojaner „Gandcrab“ befindet sich ein Word-Dokumente mit schädlichen Makros im Anhang.
An eine bereits empfangene, legitime E-Mail wird ein Anhang mit Makros platziert.
Öffnet der Nutzer diese Datei, sieht er diesen Hinweis von Microsoft Word. Klickt man hier, werden die Makros ausgeführt, mit denen das Schadprogramm auf den Rechner gelangt.
Unbemerkt wird weitere Schadsoftware nachgeladen, die sich selbst an die gespeicherten Kontakte verteilt. Dazu lässt sie ihre E-Mails so aussehen, als seien es Antworten auf bereits früher verschickte Nachrichten. Im schlimmsten Fall werden die infizierten Rechner verschlüsselt.
DATEVnet blockiert
Da die Schadsoftware bisher von den meisten Virenscannern noch nicht erkannt wird, blockiert DATEVnet sie mit einem eigenen Antviren-Pattern.
Es ist zu erwarten, dass der Trojaner laufend sein Erscheinungsbild ändert.