Der CMS warnt wiederholt vor der Schadsoftware Emotet im HU-Netz
Am 29.10. warnte der CMS vor der Malware Emotet, die zu dem Zeitpunkt an HU-Mailadressen verschickt wurde. Mittlerweile sind die ersten Infektionen innerhalb des HU-Netzes aufgetreten.
Emotet verbreitet sich von infizierten Rechnern aus hauptsächlich über zwei Wege: E-Mails werden an Kontakte (aus Posteingang und Adressbuch) verschickt und zusätzlich findet eine Verbreitung über Netzwerkfreigaben statt. Empfänger erhalten E-Mails von bekannten Absendern mit plausibel wirkender Gesprächshistorie aus vorheriger E-Mailkommunikation. Die E-Mails fordern zum Öffnen enthaltener Anhänge auf. Neben ZIP-Dateien sind vor allem DOC- und andere Microsoft Office-Formate angehängt.
Deshalb warnt der CMS noch einmal ausdrücklich: Es dürfen auf keinen Fall Makros aktiviert werden, wenn in der Office-Datei oder in der E-Mail dazu aufgefordert wird. Eine solche Aufforderung in Form eines eingebetteten Bildes ist ein sicheres Anzeichen für Malware.
Diese Warnung gilt auch für Office-Dateien aus anderen Quellen, wie HU-Box, Netzlaufwerken und sonstigen Dateiaustauschmöglichkeiten.
Emotet ist hauptsächlich in Office-Dokumenten mit den folgenden Endungen enthalten:
• doc
• xls
• ppt
Neben Office-Dateien kursieren folgende, weitere infizierte Dateitypen:
• verschlüsseltes zip mit Passwort in der Mail (enthält einen der anderen, hier genannten Dateitypen)
• pdf mit Link im Dokument
• E-Mails mit externen Verlinkungen
Um die Verbreitung einzudämmen, filtert der CMS derzeit alle E-Mails mit verschlüsselten ZIP-Dateien als Anhang aus. Alternativen zu verschlüsselten ZIP-Dateien sind beispielsweise die HU-Box, der Dateiaustauschdienst des CMS sowie die E-Mails (inkl. Anhang) selbst via Zertifikat zu verschlüsseln. Persönliche Zertifikate stellt der CMS auf Antrag aus.
Als Schutzmaßnahmen empfiehlt der CMS, nur angehängte Dokumente zu öffnen, die Sie angefordert haben oder erwarten und bei Links in E-Mails oder PDF-Dokumenten erhöhtes Misstrauen an den Tag zu legen. Im Zweifelsfall den Absender kontaktieren! Sofern es mit Arbeitsaufgaben vereinbar ist, sollten Makros in den Sicherheitseinstellungen von Microsoft Office deaktiviert werden oder eine alternative Office-Lösung wie Open Office oder Libre Office eingesetzt werden.
Der CMS bittet darum, alle Verdachtsfälle sofort via E-Mail an cms-benutzerberatung@hu-berlin.de zu melden. Zur Analyse wird die verdächtige E-Mail (oder Datei) selbst benötigt.
Die Benutzerberatung des CMS bemüht sich, betroffene HU-Angehörige zu kontaktieren, wenn es zu einer bestätigten Infektion gekommen ist.
Kontakt: