Der Trojaner Emotet setzt auf eine perfide Verbreitungsmasche: Er benutzt bekannte Mailadressen z. B. angeblich die eines Kollegen derart geschickt, dass man glauben könnte, die Rechnungskorrektur oder Rechnungsreklamation aufgrund von Mehrwertssteuerabweichungen o. ä. sei echt. Dabei wird versucht den Anwender dazu zu bringen, eine Word Datei mit Makro zu öffnen, die angeblich mit Office 365 erstellt wurde und zum Öffnen den Klick auf "enable Content" benötigen würde. Dieser Klick allerdings ist verhängnisvoll, denn er leitet die Infektion des Rechners ein, dabei werden Windows Zugänge und weitere Passworte, sowie Outlook Adressbücher ausgespäht. Zudem breitet sich diese Schadsoftware über das Netzwerk aus und kann weitere Viren und Trojaner nachladen. Bitte öffnen Sie niemals leichtfertig Office Dateien, die Sie als Mailanhang erhalten haben, denn auch aktuelle Scanner können diesen Schädling noch nicht identifizieren.
In diesem Fall würde es helfen, wenn Sie beim angeblichen Absender nachfragen würden, ob er tatsächlich diese Mail gesendet hat. Desweiteren enthält unser Fachartikel "Viren und Trojaner" wichtige Hinweise zum sicheren Umgang, der kostenlos im Downloadbereich zur Verfügung steht.
[Update 13.11.2018] Dieser Trojaner steht auch in Verdacht, bei einer Infektion die Adressbücher auszulesen, um so an neue "bekannte" Mailadressen zu kommen.
[Update 14.11.2018] Auch gefälschte Telekom Rechnungen befinden sich teilweise in den Mailanhängen.
[Update 15.11.2018] Die Macher von Emotet sortieren die Angriffsziele nach Domains, so dass tatsächlich der Anschein entsteht, dass die Mails von Kollegen stammen. Derzeit ist verstärkt Deutschland im Visier wie Heise berichtet.
[Update 16.11.2018] Mittlerweile hat diese Malware eine Klinik in Fürstenfeldbruck lahmgelegt, wie Heise berichtet. Notfallpatienten mussten umgeleitet werden. Die 450 Computer der Klinik sind nicht einsatzfähig. Diese Malware hat Anhänge, die täuschend echt aussehen. Bitte öffnen Sie keine Officeanhänge, die Sie nicht angefordert haben und halten Sie evtl. Rücksprache mit dem Absender. Auch jetzt noch ist die Erkennungsrate durch Schutzsoftware nicht ausreichend, weil die eigentliche Schadsoftware nicht im Mailanhang steckt, sondern nach Ausführung durch diesen nachgeladen wird. Bestenfalls ist die Ausführung von Makros deaktiviert, dies würde in diesem Fall vor einer Infektion schützen.
[Update 19.11.2018] G Data hat Fachberichte dazu zur Verfügung gestellt, die das Vorgehen exzellent erklären. Außerdem kann die o. G. Klink, nach über einer Woche Stillstand, zumindest eingeschränkt wieder arbeiten und wird von Rettungswagen angefahren.
[Update 06.12.2018] Die Gefahr scheint noch lange nicht gebannt. Gerade Privatkunden und nicht administrierte Kleinnetzwerke stehen oftmals noch ohne Schutz dar. Aber auch immer wieder werden größere Firmen komplett durch diesen Trojaner lahmgelegt, da die Mailtexte in einer bisher unbekannten Qualität täuschen. Daher hat heise einen einfachen Katalog zu vorbeugenden Maßmahmen veröffentlicht. Auch wir bieten individuelle Hilfe an zum generellen Schutz, der Sie nicht einschränkt, sprechen Sie uns an. Es gibt mehrere Möglichkeiten dieser Gefahr entgegen zu treten, dies können wir auf Ihre Bedürfnisse zuschneiden und das muss nicht mal teuer sein.
[Update 11.12.2018] Auch n-tv hat weitere Berichte veröffentlicht, diese Welle greift immer weiter um sich. Daher haben wir geprüft, ob man bei der Verwendung unserer Software die Ausführung von Makros gänzlich sperren kann.
[Update 13.12.2018] Wie gelangt man unter Outlook leicht an die wirkliche Absenderadresse, nicht nur an die angezeigte, gefälschte, die mir eine bekannte Adresse suggerieren soll?
Antwort: Dies sieht man im Mailheader, aber der ist in Outlook nicht so leicht anzeigbar. Allerdings sobald man auf Weiterleiten klickt, sieht man dies in der Zeile "von".