Emotet

Emotet est une famille de trojan très évolué et sophistiqué qui s’attaque principalement aux entreprises.
Le but est de voler et exfiltrer un maximum de données.
Toutefois, Emotet peut aussi s’attaquer aux grand publics pour voler des accès bancaires.
En effet, il s’agit d’un Trojan Banker.

Qu’est-ce que Emotet ?

Emotet est un cheval de Troie bancaire qui a commencé à voler des informations à des particuliers, comme des détails de carte de crédit. Il rôde depuis 2014 et a énormément évolué au fil des ans, devenant une menace majeure qui infiltre les réseaux d’entreprise et propage d’autres souches de logiciels malveillants.

Le département américain de la Sécurité intérieure a publié une alerte sur Emotet en juillet 2018, le décrivant comme « un cheval de Troie bancaire avancé et modulaire qui fonctionne principalement comme un téléchargeur ou un compte-gouttes d’autres chevaux de Troie bancaires », et avertissant qu’il est très difficile à combattre, capable de échappant à la détection typique basée sur les signatures et déterminé à se propager.
L’alerte explique que « les infections à Emotet ont coûté aux gouvernements SLTT (États, locaux, tribaux et territoriaux) jusqu’à 1 million de dollars par incident pour y remédier ».

Par la suite Emotet a évolué.
Ainsi de nos jours Emotet est principalement considéré comme une infrastructure en tant que service de diffusion de contenu. Par exemple, depuis la mi-2018, il est utilisé par Trickbot pour les installations, ce qui peut également conduire à des attaques de ransomware utilisant Ryuk, une combinaison observée à plusieurs reprises contre des cibles de premier plan. Il vole toujours des informations aux victimes, mais le gang criminel derrière lui a ouvert un autre canal commercial en vendant son infrastructure en fournissant des logiciels malveillants supplémentaires. D’après les analystes de logiciels malveillants, il a été classé en époques en fonction de la commande et du contrôle, des charges utiles et des solutions de livraison qui changent au fil du temps. Emotet a été retiré en janvier 2021.

Il se diffuse généralement par des mails malveillants en utilisant des pièces jointes contenant des documents Office vérolés.
Ce dernier contient une Macro, si l’utilisateur ouvre le document Word, Excel et exécute la macro, le malware est téléchargé et exécuté sur le PC automatiquement.
Ces documents Office malveillant peuvent être détectés en TrojanDownloader:O97M/Emotet.

Dans certaines de ses campagnes de spam, les courriels ont généralement un thème financier et semblent être une réponse à une transaction antérieure en utilisant des avis de paiement à paiement de paiement, des pièces jointes de facturation ou des informations de paiement.
Certaines variantes utilisent des macros PowerShell, trompant des utilisateurs pour ouvrir un document joint pour activer les macros et déclencher une commande PowerShell qui tente de télécharger Emoet à partir de sites compromis.

Type de menaceTrojan / Cheval de troie
Sous type de la menaceTrojan.Banker
Fonctionnalité supposéeVoler les données bancaires / identifiants site de banque
DétectionsHEUR:Trojan-Banker.MSIL.ClipBanker (Kaspersky)
Win32:PWSX-gen [Trj] (Avast!, AVG)
Trojan:Win32/AgentTesla (Microsoft)
Trojan.Win64.Crypt / Trojan.Win32.Crypt
Trojan.ClipBanker (Malwarebytes)
RDN/PWS-Banker
InfoStealer (Norton)

Les malwares qui téléchargent et installe un Trojan.Banker se nomment Trojan:Win32/Banload.
Famille de malwareTrojan:Win32/Ymacco, Trickbot,  VarenykyGozNym, HawkEye, IcedID
Ursnif, Trojan.Qbot, Trojan Dridex ou Emotet
SymptômesAucun symptôme en particulier, le malware tente de se rendre discret
Mais il va voler des données, identifiants dont les mots de passe
Dommage sur le systèmeAucun en particulier
Peut télécharger et installer d’autres malwares
Fiche de Trojan Banker

Comment Emotet infecte-t-il les réseaux ?

Les infections Emotet commencent généralement par un simple e-mail de phishing contenant une pièce jointe ou un lien pour télécharger un fichier. Le destinataire est persuadé de cliquer sur le lien ou d’ouvrir le fichier et, sans le vouloir, il déclenche une macro qui télécharge une charge utile malveillante. Dès que l’appareil est infecté, Emotet commence à essayer de se propager à d’autres appareils sur le réseau.

L’ajout de nouvelles fonctionnalités dans Emotet, inspirées d’autres logiciels malveillants à succès tels que WannaCry, en a fait une menace beaucoup plus puissante, capable de se déplacer latéralement et d’infecter des réseaux entiers à une vitesse alarmante. C’est un cheval de Troie modulaire qui est souvent utilisé comme l’avant-garde d’une attaque plus importante, perçant les défenses extérieures, puis téléchargeant d’autres chevaux de Troie bancaires et les diffusant.

Aussi persistant et pernicieux que soit Emotet, vous pouvez prendre des mesures efficaces pour vous en prémunir. Voici quelques façons de faire exactement cela.

Comment supprimer le Trojan Emotet de votre PC

Supprimer Emotet avec MBAM

  • Téléchargez puis installez Malwarebytes Anti-Malware
  • Laissez vous guider pour effectuer les premières configurations
  • Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
  • A l’issu du scan, supprimez toutes les menaces détectées
  • Enfin redémarrez votre PC si MBAM le demande
Supprimer les virus avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware en vidéo :

https://youtu.be/7lp9iP9_yQA

Supprimer Emotet avec RogueKiller

  • Téléchargez puis installez RogueKiller
  • Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller
  • Laissez le scan s’effectuer, cela va prendre du temps
  • Enfin supprimer toutes les menaces détectées
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller

Supprimer Trojan MalPack avec NOD32

  • Téléchargez puis exécutez esetonelinescanner.exe
  • Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
Faire un scan en ligne NOD32 pour supprimer les virus
  • Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
  • Enfin placez tous les éléments détectés en quarantaine

Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Comment protéger son PC des virus

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.