O malware Emotet era considerado uma das maiores ameaças cibernéticas atuais e chegou a impactar redes de diversas organizações globais no ano passado. Agora, o vírus para Windows enviado através de e-mails foi automaticamente deletado dos computadores infectados.

Essa destruição do malware aconteceu após uma ação envolvendo polícias europeias, chamada Operação Ladybird, que levou três meses para desenvolver a interrupção do vírus. O trabalho envolveu pelo menos 700 servidores associados à infraestrutura do botnet, cortando assim o mal por dentro e prevenindo mais explorações.

publicidade

Leia mais:

A ação colaborativa contou com autoridades de oito países: HolandaAlemanhaEstados UnidosReino UnidoFrança, Lituânia, Canadá e Ucrânia – e a Europol. O malware foi identificado pela primeira vez em 2014, visto como um trojan simples, usado para roubar credenciais de contas bancárias.

Só depois que o Emotet se reinventou. Após infectar um computador, ele conseguia instalar outras ameaças, como o trojan bancário Trickbot e o ransomware Ryuk. Anteriormente, a polícia holandesa apreendeu dois servidores no pais.

Os holandeses também desenvolveram um software para contra-atacar a ameaça de forma efetiva. “Todos os sistemas de computadores infectados vão automaticamente recuperar a atualização, colocando a infecção pelo Emotet em quarentena”, informou a polícia da Holanda em janeiro.

Para a correção foi usado um payload de 32-bit chamado “EmotetLoader.dll”, através do mesmo canal usado para distribuir o vírus às máquinas comprometidas. A “limpeza” foi acionada automaticamente no dia 25 de abril, o último domingo. Ela também deletou uma chave de registro, encerrando o processo.

Rastreadores mostram que nenhum dos servidores do malware Emotet estão online. Mas, por enquanto, ainda é preciso ver se os botnets vão reagir no futuro ou continuar inoperantes.

Essa é a segunda vez em que autoridades de polícia agem em massa para remover malwares de computadores comprometidos, de acordo com o site The Hacker News. No começo deste mês de abril, o governo dos Estados Unidos deus os primeiros passos para remover ameaças aos servidores Microsoft Exchange, violados através do ProxyLogon

Após autorização da justiça, o FBI afirmou que está em processo de notificação às organizações que precisaram remover os vírus, insinuando que a agência de inteligência norte-americana acessou os sistemas sem ser notada.

Via: The Hacker News