HOME

BSI warnt vor Emotet: Fieser Trojaner verbreitet sich über Amazon-Mails: Darum ist er so gefährlich

Mit Emotet treibt zur Zeit ein besonders gefährlicher Trojaner sein Unwesen. Er kommt aktuell vor allem über falsche Amazon-Mails auf die Rechner seiner Opfer. Zum Glück kann man sich recht einfach schützen.

Emotet landet aktuell über gefälschte Amazon-Mails bei seinen Opfern (Symbolbild)

Emotet landet aktuell über gefälschte Amazon-Mails bei seinen Opfern (Symbolbild)

Getty Images

Er ist eine Art Schweizer Taschenmesser unter den Angriffs-Programmen: Der Trojaner Emotet wird aktuell für eine ganze Reihe von Angriffen auf Privatanwender und Firmen benutzt. Von ausspionierten Bank-Accounts bis zur Erpressung mit verschlüsselten Daten ist alles drin, warnt bereits das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir erklären, was Emotet so gefährlich macht - und wie man sich schützen kann.

Der Trojaner gelangt zunächst per Mail auf den Rechner. Nachdem sich Emotet Ende letzten Jahres schon mit einer groß angelegten Kampagne über gut gefälschte Mails verbreitete, die vermeintlich von Freunden oder Kollegen stammten, verbreitet er sich aktuell vor allem über vorgebliche Versandbestätigungen von Amazon. Klickt man auf einen enthaltenen Link, lädt sich eine manipulierte Word-Datei auf den Rechner. Und Emotet beginnt sein Werk.

+++ Lesen Sie auch: Der Avira-Chef erklärt im Interview, warum die Gefahr durch Viren und Trojaner nur noch schlimmer wird +++

Das macht Emotet so gefährlich

Was dann genau passiert, lässt sich kaum vorhersagen. Emotet öffnet sozusagen nur die Tür, dann werden je nach Variante unterschiedliche Schadprogramme nachgeladen. In vielen Fällen werden weitere Trojaner wie Trickbot installiert, die dann still und leise im Hintergrund das Online-Banking scannen, so das BSI. Bei anderen Opfer werden die Rechner verschlüsselt und Lösegeld verlangt. Selbst Datensicherungen können dann nicht retten: Einige Varianten scheinen entdeckte Festplatten mit Backups zu löschen. Der "Deutschen Handwerkszeitung" zufolge scheinen bei der Höhe des Lösegelds sogar die Kontostände der Nutzer bedacht zu werden.

Die größte Gefahr von Emotet ist deshalb die extrem hohe Vielseitigkeit, warnen auch die Experten von G-Data. Demnach würden an manchen Tagen bis zu 200 neue Varianten des Trojaners entdeckt, selbst an ruhigeren Tagen sind es nach einem Blogpost noch gut 25 neue. Die hohe Frequenz an neuen Varianten stellt auch Antivirenprogramme vor eine Herausforderung.

Dass sich Emotet so schnell verbreitet, liegt daran, dass der Trojaner ein eigenes Spam-Modul mitbringt. Das liest die Kontakte des Nutzers aus und verbreitet die gefälschten Mails so auf der Suche nach neuen Opfern weiter. Ein klassisches Schneeball-System.

So schützen Sie sich vor Emotet

Zum Glück kann man sich bislang relativ leicht vor dem Trojaner schützen, gibt G-Data an. Das reine Öffnen der Word-Nachricht reicht demnach nicht aus, um den Schädling zu installieren. Er versteckt sich in einem Makro, dass beim Öffnen der Mails zu starten versucht wird. Erst wenn der Nutzer  dem Ausführen eines sogenannten "aktiven Inhalts" zustimmt, kann Emotet loslegen. Deshalb versucht er seine Opfern mit verschiedenen Tricks zum entscheidenden Klick zu bewegen, etwa indem behauptet wird, die Datei wäre mit einer Online-Version von Word erstellt worden oder es gebe Probleme wegen der genutzten Office-Version.

Verweigern die Nutzer aber den Klick, kann das Makro nicht ausgeführt werden - und Emotet bleibt der Zugang zum Rechner verwehrt. G-Data empfiehlt entsprechend, dem eigenen Office-Programm die automatische Ausführung von Makros zu verbieten. Eine Anleitung dazu finden Sie auf dieser Seite von Microsoft. Weitere allgemeine Tipps, wie man sich vor Trojanern schützen kann, finden Sie in diesem Text.

Schon befallen? Das müssen Sie tun

Ist der Rechner bereits befallen, sollten Sie sofort handeln. Zunächst gilt es, den Rechner vom Internet zu nehmen. Dann sollten Sie sämtliche auf dem PC gespeicherten Kontakte vor einem möglichen Angriff über ihre E-Mail-Adresse warnen. Im nächsten Schritt empfiehlt es sich, bei sämtlichen auf dem betroffenen Rechner gespeicherten oder genutzten Accounts sofort das Passwort zu ändern - natürlich von einem anderen Gerät aus. 

Dann kommt der schwerste Schritt: Laut dem BSI empfiehlt es sich, den befallenen Rechner einmal komplett neu aufzusetzen, also alles zu löschen und Windows neu zu installieren. Werden dabei Daten aus einem Backup eingespielt, sollte der Rechner sofort danach mit einem Antivirenprogramm überprüft werden.

Quelle: BSI, G-Data, Bleeping Computers, Deutsche Handwerkszeitung