Обычно вирусы создаются с конкретной целью, причем цель эта чаще всего состоит в получении финансовой выгоды. Наиболее яркий тому пример — банковский троян Emotet, созданный специально для кражи финансовой информации, но, будучи управляемым с удаленного сервера, он может использоваться для рассылки спама и шифрования файлов пользователя. Распространяется Emotet через вредоносные сайты, но в гораздо большем объеме через вложения электронной почты.
Антивирусные программы, конечно же, знают о его существовании, но есть и узкоспециализированные утилиты для выявления этого опасного зловреда.
Разработчики координационного центра Japan CERT создали для этих целей сканер EmoCheck Tool, проверяющий ПК на предмет наличия на нём Emotet. Сканер представляет собой простейшую консольную утилиту, не требующую от пользователя никаких дополнительных действий. Чтобы проверить компьютер, вам достаточно запустить исполняемый файл emocheck.exe подходящей разрядности и дождаться появления в открывшейся консоли приглашения нажать любую клавишу.
Как работает EmoCheck Tool
EmoCheck ищет не сам вредоносный файл Emotet, а признаки его активности, поэтому сканирование занимает доли секунды. После этого консоль будет закрыта, а в папке с исполняемым файлом сканера появится лог — обычный текстовый документ с результатами. Он будет содержать версию утилиты, дату и время проверки, а также вердикт. «Emotet was not detected» станет означать, что ваш компьютер чист. Если результат окажется положительным, заняться поиском и удалением вредоносного файла вам придется самому.
Выявление файлов Emotet вручную
Нужно будет открыть командой services.msc оснастку управления службами и поискать в списке сервисы с бессмысленными, цифровыми или необычными названиями, ибо Emotet именно так и работает, создавая службы со случайно сгенерированными именами, причем таких служб может быть несколько. Выглядеть это будет примерно так:
Отключайтесь от интернета, останавливайте обнаруженные подозрительные службы, открывайте их свойства и смотрите пути к исполняемым файлам. Эти файлы нужно будет скопировать и отправить на проверку в VirusTotal. Зараженные файлы пробуем вылечить запущенным на ПК любым эффективным антивирусным сканером или им же и удаляем.
Проверяйте выписки с банковских счетов
Не будет излишней и еженедельная проверка выписок с ваших банковских счетов, если вы считаете свой ПК подверженным риску заражения Emotet и подобными ему вирусами. При обнаружении в выписках покупок, которые вы не совершали, разумно будет позвонить в банк и попросить менеджера заблокировать карту до выяснения обстоятельств, а затем заняться проверкой компьютера на предмет наличия в нём банковских троянов. А еще можно порекомендовать ограничить в личном кабинете клиента банка совершение онлайн-платежей и подключить службу отправки уведомлений обо всех банковских операциях на мобильное устройство.
Страница разработчика: github.com/JPCERTCC/EmoCheck/releases