Eine internationale Ermittlergruppe hatte in den letzten Januartagen die Infrastruktur hinter Emotet zerschlagen und den Verschlüsselungstrojaner unbrauchbar gemacht. Das Bundeskriminalamt (BKA) verschob die Schadsoftware auf infizierten PCs zur Beweismittelsicherung zunächst in einen Quarantäne-Ordner. Betroffene sollten darüber von ihrem Internetprovider informiert worden sein.
Auf den Rechnern der Betroffenen löscht sich die Schadsoftware schließlich seit dem 25. April selbst, weil sie vom BKA so programmiert worden ist, berichtet das Fachportal «Heise online». Davon abgesehen, dass die Rechtmäßigkeit des BKA-Fernzugriffs umstritten ist, muss man als Betroffene oder Betroffener damit rechnen, dass die Gefahr auf dem Rechner noch nicht gebannt ist.
Noch mehr ungebetene Gäste
«Sie müssen davon ausgehen, dass sich neben der Infektion mit Emotet auch weitere Schadsoftware auf mindestens einem Computersystem in Ihrem lokalen Netzwerk befindet», warnt das BKA – und nennt als Beispiele für Schädlinge, die Emotet nachgeholt haben könnte, die Banking-Trojaner Trickbot und Qakbot sowie den erpresserischen Verschlüsselungstrojaner Ryuk.
Zwar kann man versuchen, die Schädlinge mit Virenscannern zu beseitigen und das System mit Hilfe von Wiederherstellungspunkten aus der Zeit vor der Infektion wieder in einen intakten Zustand zu versetzen. Gewissheit, dass der Rechner vollständig bereinigt ist und alle Gefahren gebannt sind, erhält man so aber nicht.
Neuinstallation und Passwortwechsel
Ganz sicher sein, dass von den Schädlingen oder ihren Überresten nichts mehr auf dem System ist, kann man nur nach einer Neuinstallation von Windows. Zu diesem Schritt rät etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vorher sollte man alle wichtigen Dateien und Dokumente sichern oder greift auf ein Daten-Backup aus Vorinfektionszeiten zurück.
Da Schadsoftware möglicherweise nicht nur das Onlinebanking manipuliert, sondern auch Passwörter ausspioniert hat, gilt laut BSI zudem: Alle auf dem befallenen Rechner gespeicherten Passwörter ändern, auch Zugangsdaten, die etwa in Browsern eingegeben wurden, sowie insbesondere das Passwort für das E-Mail-Postfach.
E-Mail-Check für alle
Auch Anwenderinnen und Anwender, die Emotet & Co nicht als ungebetene Gäste auf ihren Computern hatten, können etwas für ihre Sicherheit tun. Denn es ist möglich, dass die eigene E-Mail-Adresse als Raub des Trojaners in den bei den Cyberkriminellen sichergestellten Datensätzen auftaucht.
Nachprüfbar ist das nun in der Leak-Datenbank «Have I Been Pwned?». Deren Betreiber, der IT-Sicherheitsforscher Troy Hunt, hat nach eigenen Angaben mehr als vier Millionen Mail-Adressen von den an den Emotet-Ermittlungen beteiligten Polizeibehörden erhalten und eingepflegt. Ist die eigene Adresse dabei, sollte man sein Mail-Postfach-Passwort und am besten sämtliche mit der jeweiligen Mail-Adresse verbundenen Passwörter bei Onlinediensten ändern.