Bitte lesen: Sofortmaßnahmen Virus "Emotet"

Liebe Nutzer*innen,

seit 16.5.2019 nehmen wir eine verstärkte Verbreitung von Viren, vorrangig dem Virus ,Emotet’, an der TUK wahr.

Wir möchten Sie mit dieser Mail gezielt auf Sofortmaßnahmen, den Umgang mit dem Virus und weitere organisatorische Maßnahmen hinweisen.

Der Virus wird über E-Mails mit angehängten Office-Dateien in die TUK-Infrastruktur eingeschleust. Diese Dateien bedienen sich Makros, die durch „Inhalte aktivieren“ ausgeführt werden und damit das System infizieren.

Dieser Virus befällt vorrangig Windows-Systeme und Windows-Nutzerprofile. Sobald er einmal auf einem System ist, zieht er Daten ab und lädt weitere Malware (bspw. Kryptotrojaner) nach und versucht sich innerhalb des Netzwerks selbständig weiter zu verbreiten. Aufgrund der damit verbundenen hohen Verbreitungsgeschwindigkeit handelt es sich um einen Virus mit sehr hohem Gefährdungsgrad.

Aus diesem Grund ist bereits bei einem begründeten Verdacht, dass ein System infiziert ist, schnell zu handeln, und folgende Maßnahmen sind umgehend durchzuführen:

• Das infizierte System muss sofort vom Netzwerk getrennt werden (LAN, WLAN und Mobilfunk)
• Die Accounts von Nutzern (sowohl RHRK-Account wie auch etwaige AG-Accounts) des Systems, die während und nach der vermuteten Infektion an dem System eingeloggt waren, müssen gesperrt werden. Dazu wenden Sie sich an accounts(at)rhrk.uni-kl.de und Ihren Systemadministrator.

Nach diesen Sofortmaßnahmen müssen folgende Schritte zwingend durchgeführt werden, um ein System virenfrei zu machen:

• zunächst Daten, die nur auf diesem System gespeichert sind, auf ein externes Medium (USB-Stick; USB-Festplatte) sichern. Dieses darf keine weiteren Daten enthalten und muss zunächst ungenutzt für 24 Stunden zur Seite gelegt werden (innerhalb dieser Zeit wird in der Regel Antivirensoftware auf den neuesten Stand aktualisiert).
• Die betroffenen Windows-Systeme müssen vollständig neu aufgesetzt werden, da eine sichere Entfernung dieses Virus nicht möglich ist bzw. keine Verfahren hierfür publiziert sind.
• Zentral gespeicherte Nutzerprofile müssen zurückgesetzt werden.
• Sobald der Account nach Durchführen der vorgenannten Maßnahmen wieder entsperrt wird, muss der Nutzer sofort ein neues Passwort setzen.
• Die gesicherten lokalen Daten auf dem externen Medium dürfen frühestens nach 24 Stundenauf Viren getestet und anschließend auf das bereinigte System aufgespielt werden. Dabei muss an einem Testsystem ein Scan der gesamten Daten mit einem aktuellen Virenscanner erfolgen (bspw. Sophos).

Wichtig:

• auf einem potentiell infizierten System dürfen Sie sich auf keinen Fall mit einem Administrationspasswort anmelden, solange dieses System noch aktiv im Netz ist. Passwörter werden durch den Virus mit-/ausgelesen und zur weiteren Verbreitung genutzt.
• Wer an einem infiziertem System gearbeitet hat muss zwingend auch alle anderen dort verwendeten / gespeicherten Passwörter (auch private) ändern.

Seit 16.5.2019 werden durch das RHRK weitreichende technische Maßnahmen zur Vorbeugung weiterer Infizierungen und Erkennung infizierter Systeme durchgeführt:

• Der E-Mail SPAM Filter wurde „verschärft“ und derart konfiguriert, dass E-Mails mit Microsoft Office-Dateien im Anhang und bestimmten Merkmalen als SPAM abgewiesen werden. Der Absender erhält dabei die Information, dass die E-Mail nicht  angenommen wurde. Es werden demnach keine E-Mails gelöscht, lediglich zurückgewiesen an den Absender. Durch die Maßnahme kann es aktuell leider zu 'false positives' kommen, was bedeutet, dass auch reguläre und von den Nutzern erwartete E-Mails abgelehnt werden (dies betrifft nur E-Mails mit Office-Dokumenten im Anhang).
• Der Netzwerkverkehr wird an zentraler Stelle auf bestimmte Merkmale geprüft, um infizierte Systeme zu erkennen. Wenn das RHRK ein System als wahrscheinlich infiziert identifiziert, wird dieses umgehend vom Netz getrennt und sofern bekannt, der jeweilige Nutzer informiert.
• Einzelne infizierte Systeme wurden von Nutzern dem RHRK zur Prüfung des Viren-Verhaltens zur Verfügung gestellt, vor allem um festzustellen welche Malware durch 'emotet' nachgeladen wurde. Bisher wurden so zwei Verschlüsselungs-Trojaner gefunden.

Organisatorische Maßnahmen:

• Öffnen Sie keine Office-Dokumente, bei denen Sie nicht sicher sind, dass Sie das Dokument auch erwarten. Bei Dokumenten, bei denen Sie nicht sicher sind, fragen Sie bitte den Absender oder senden Sie dieses an antivirus(at)rhrk.uni-kl.de. Das RHRK übernimmt für Sie die Prüfung des Dokumentes.
• Jedes Windows-System sollte über einen aktiven Antivirenscanner verfügen. Das RHRK stellt zentral die Software Sophos zur Verfügung, siehe https://www.rhrk.uni-kl.de/software/antivirus/
• Nutzen Sie zum Austausch von Office-Dokumenten zukünftig verstärkt die durch das RHRK zentral bereitgestellten Möglichkeiten wie
  • Speicherplatz-Freigaben 
  • die Cloud der Rechenzentrumsallianz Rheinland-Pfalz „Seafile“ oder
  • Versionsverwaltungen
    
    Hierüber können Sie bequem mit Kolleg*innen auch außerhalb der TUK zusammenarbeiten und müssen ihre Office-Dokumente nicht per E-Mail versenden.
    

Bei Fragen oder falls Sie Unterstützung rund um das Thema ‚Emotet' benötigen, können Sie sich gerne an das RHRK wenden (hotline(at)rhrk.uni-kl.de).

Weitere Informationen zu der Malware 'Emotet' finden Sie auf der Homepage des Bundesamtes für Sicherheit in der Informationstechnik (BSI):
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html 

Dort werden auch weiterführende Maßnahmen beschrieben, die von administrativer Seite vorgenommen werden können um einer Infizierung vorzubeugen. 

Die dortigen Informationen sollten nach Möglichkeit in Ihrem Zuständigkeitsbereich umgesetzt werden. 

Ihr RHRK-Team