Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=TrickBot

Bereinigung von Trickbot oder Emotet

Befolgen Sie diese Schritte, um eine TrickBot- oder Emotet-Infektion zu beheben.

Einleitung

Die TrickBot- oder Emotet-Malware-Suite ist derzeit eine der am weitesten verbreiteten und effektivsten Malware-Formen. Sie nutzt mehrere Techniken und Infektionsvektoren, um sich in einer Umgebung zu verbreiten und Persistenz auf kompromittierten Geräten zu erlangen.

Für einen effektiven Schutz empfehlen wir Sophos EDR oder Sophos XDR.

Wenn Sie von einem aktiven TrickBot- oder Emotet-Vorfall betroffen sind, empfehlen wir Ihnen, sich mit uns in Verbindung zu setzen und unseren Managed Detection and Response Service zu erwerben. Der Service wird von einem Experten-Team bereitgestellt, das Sie bei der Bereinigung und Ursachenanalyse unterstützen kann.

Überprüfen Ihrer Geräte

Stellen Sie sicher, dass Ihre Geräte auf dem neuesten Stand und geschützt sind. Um Ihre Geräte zu prüfen, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass jedes Gerät in Ihrem Netzwerk über eine funktionierende und aktualisierte Version von Sophos Endpoint Protection verfügt.

    Wir empfehlen nicht, eine TrickBot- oder Emotet-Infektion mit Sophos Anti-Virus (On-Premise) zu beheben. Sophos Anti-Virus verfügt nicht über alle Funktionen und Tools für den effektiven Schutz und die Bereinigung von TrickBot oder Emotet

  2. Aktualisieren oder entfernen Sie alle Geräte, die alte Betriebssysteme verwenden, auf denen Sie Sophos Endpoint nicht installieren können, oder beziehen Sie entsprechende Windows-Updates.

    1. Stellen Sie sicher, dass Ihre Geräte über alle neuesten Windows-Sicherheits-Patches verfügen. Ein einzelnes System, das ungeschützt oder nicht gepatcht ist, kann andere Geräte infizieren, die geschützt und gepatcht sind.

  3. Deaktivieren Sie während der Bereinigung alle Geräte, auf denen eine Version von Windows 2008 ausgeführt wird, die nicht Windows 2008 R2, Windows 2003 XP oder frühere Versionen ist. Entfernen Sie diese Geräte aus dem Netzwerk, da sie einen erneuten Ausbruch auslösen können.

    Diese Betriebssystems-Liste ändert sich, wenn Windows-Versionen nicht mehr unterstützt werden. Weitere Informationen zu unseren aktuellen Systemvoraussetzungen finden Sie unter Systemvoraussetzungen für Sophos Central Windows-Endpoints oder Systemvoraussetzungen für Sophos Central Windows-Server.

Ausmaß des Problems bestimmen

Gehen Sie nicht davon aus, dass jedes Gerät in Ihrem Netzwerk geschützt ist und dass Sie jedes Gerät in Ihrem Netzwerk kennen. Es gibt viele Möglichkeiten, Geräte in Ihrem Netzwerk zu identifizieren, und Sie verfügen möglicherweise bereits über entsprechende Methoden. Welche Option am besten für Sie geeignet ist, hängt von der Netzwerkgröße und Segmentierung ab.

Eine der häufigsten Methoden ist es, einen Netzwerk-Scan durchzuführen, um zu erkennen, was sich aktuell im Netzwerk befindet.

Dazu können Sie Tools von Drittanbietern verwenden, z. B. Advanced IP Scanner.

Um Ihr Netzwerk zu scannen, wählen Sie eine der folgenden Optionen:

  • Verwenden Sie den Advanced IP Scanner. Siehe Advanced IP Scanner.

    Dabei handelt es sich um ein kostenloses, leicht verständliches Tool.

    Screenshot des Advanced IP Scanner-Tools.

    Es wird eine Liste der aktiven Geräte in Ihrem Netzwerk erstellt, die Sie mit den in Ihrer Sophos-Management-Software aufgeführten Geräten vergleichen können.

Schutz überprüfen

Sophos hat Einstellungen für den Schutz vor Bedrohungen empfohlen. Diese verwenden mehrere Schutzebenen. Diese Einstellungen bieten Schutz vor Infektionen und helfen bei der Beseitigung von Infektionen. Um Ihren Schutz zu prüfen, gehen Sie wie folgt vor:

  1. Überprüfen Sie, ob Sie unsere empfohlenen Einstellungen in Ihren Richtlinien zum Schutz vor Bedrohungen verwenden.

    Weitere Informationen zu diesen Einstellungen finden Sie unter den folgenden Links:

  2. Wenn Sie unsere empfohlenen Einstellungen nicht verwenden, aktivieren Sie diese Einstellungen in Ihren Richtlinien zum Schutz vor Bedrohungen.

Patches für Ihre Geräte installieren

Stellen Sie sicher, dass alle Ihre Geräte über die neuesten Windows-Sicherheits-Patches verfügen. Sie müssen sicherstellen, dass Sie den Patch für den EternalBlue-Exploit installieren. TrickBot oder Emotet nutzt diesen Exploit zur Verbreitung.

EternalBlue ist ein Exploit, der eine Schwachstelle in Microsoft SMB ausnutzt, die von der WannaCry-Software zur Verbreitung genutzt wurde. Das Patchen von Geräten und das Entfernen dieses Infektionsvektors beugen TrickBot oder Emotet vor und schützen Sie vor anderer Malware mit EternalBlue.

Microsoft veröffentlichte den Patch für EternalBlue in Microsoft Update: MS17-010. Im offiziellen Microsoft-Artikel wird erläutert, wie Sie überprüfen können, ob ein Gerät über den Patch verfügt. Siehe Überprüfen, ob MS17-010 installiert ist.

Sophos bietet ein einfaches PowerShell-Skript, das auf einzelnen Computern ausgeführt werden kann, um zu bestätigen, ob der Patch vorhanden ist. Weitere Informationen hierzu finden Sie unter Überprüfen, ob ein Gerät anfällig für EternalBlue ist – MS17-010.

So patchen Sie Ihre Geräte:

  1. Überprüfen Sie, ob Ihre Geräte anfällig für EternalBlue sind.
  2. Aktualisieren Sie Ihre Geräte mit den neuesten Windows-Sicherheits-Patches.

Geräte scannen und bereinigen

Scannen Sie Ihre Geräte, um herauszufinden, wie viele davon von TrickBot- oder Emotet-Infektionen betroffen sind. Anschließend müssen Sie Ihre Geräte reinigen, um erneute Infektionen zu vermeiden.

Gehen Sie dazu wie folgt vor:

  1. Stellen Sie sicher, dass alle Geräte gepatcht sind und dass Sophos Endpoint installiert ist.

  2. Führen Sie einen vollständigen Scan auf allen Ihren Geräten durch. So scannen Sie ein Gerät:

    1. Melden Sie sich bei Sophos Central an.
    2. Gehen Sie zu Meine Produkte > Endpoint > Richtlinien oder Meine Produkte > Server > Richtlinien.
    3. Klicken Sie unter Threat Protection auf die Richtlinie, die den Benutzern, Computern oder Servern zugewiesen ist, die Sie überprüfen möchten.
    4. Klicken Sie auf Einstellungen und navigieren Sie nach unten zu Geplante Scans.
    5. Aktivieren Sie die Option Geplanten Scan aktivieren.

    6. Legen Sie eine Zeit für die Ausführung des Scans fest.

      Für einen Scan müssen die Geräte eingeschaltet und aktiv sein.

    7. Stellen Sie sicher, dass Intensivscans aktivieren – Überprüfung von Archivdateien (.zip, .cab, etc.) deaktiviert ist.

      Sie müssen einen vollständigen Scan durchführen, um alle Dateien zu indizieren. Diese zusätzlichen Einstellungen verlangsamen die Indizierung oder können verhindern, dass der Scan auf einigen Geräten abgeschlossen wird.

  3. Nach dem vollständigen Scan müssen Sie die Infektion über Sophos Central Admin bereinigen. Gehen Sie dazu wie folgt vor:

    1. Melden Sie sich bei Sophos Central an.
    2. Gehen Sie zu Bedrohungsanalyse-Center > KI-Suche.

    3. Durchsuchen Sie die gängigen Malware-Ablage-Standorte.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users*<Benutzername>*\AppData\Roaming*<Zufallsname>*.

    4. Gehen Sie zu einem der Malware-Ablage-Standorte und klicken Sie auf Netzwerkverbindungen.

      Dadurch wird die Liste auf ausführbare Dateien beschränkt, die Netzwerkverbindungen ausführen. TrickBot oder Emotet versucht, sich zu verbreiten und muss Netzwerkverbindungen herstellen.

    5. Suchen Sie nach ausführbaren Dateien, die Ihnen auffallen oder bei denen Sie sich nicht sicher sind.

    6. Klicken Sie im Bedrohungsfall für jede dieser Dateien auf Neuen Bedrohungsfall erstellen und Aktuelle Daten zu Datei anfordern, um weitere Informationen zu erhalten.
    7. Überprüfen Sie die Daten und klicken Sie auf Entfernen und blockieren, falls erforderlich.

    Wenn Sie weitere Informationen zu einer Datei benötigen, senden Sie ein Sample ein, siehe Wie man Samples verdächtiger Dateien an Sophos übermittelt.

  4. Überprüfen Sie Bedrohungsfälle und Alerts auf neue und kürzlich aufgetretene Erkennungen. Achten Sie auf Anzeichen von TrickBot- oder Emotet-Erkennungen.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. Überprüfen Sie, ob die folgenden Erkennungen vorhanden sind:

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC-Verstoß
    • Sicheres Surfen
    • LoadLib

  6. Wiederholen Sie diesen Vorgang für jede Datei in Bedrohungssuchen ein.

  7. Bereinigen Sie infizierte Dateien.
  8. Starten Sie alle Ihre Geräte neu, um alle Infektionen im Speicher zu löschen.
  9. Wiederholen Sie diese Schritte, bis keine Anzeichen von TrickBot oder Emotet mehr vorhanden sind.

Abschließende Bereinigung

Wenn Sie immer noch Erkennungen erhalten, liegt eine Infektion auf einem Gerät in Ihrem Netzwerk vor.

TrickBot- oder Emotet-Infektionen bestehen in einer Datei und in einer dateilosen Form fort. Um sie zu beheben, müssen Sie ihre Fähigkeit zur Replikation in beiden Formen reduzieren. Weitere Informationen zur Funktionsweise dieser Malware finden Sie unter Beheben von Ausbrüchen von Emotet- und TrickBot-Malware.

Gehen Sie wie folgt vor, um die übrigen infizierten Geräte aufzufinden:

  1. Wiederholen Sie die Schritte in diesem Workflow.

  2. Wenn Sie die Quelle der Erkennung nicht finden können, klicken Sie auf Bedrohungsanalyse-Center > KI-Suche und überprüfen Sie die Standorte, an denen TrickBot oder Emotet gefunden wurde.

    • C:\Windows<Eine zufällig benannte EXE-Datei>
    • C:\windows\system32<Eine zufällig benannte EXE-Datei>
    • C:\Windows\Syswow64<Eine zufällig benannte EXE-Datei>
    • C:\stsvc.exe
    • C:\Users<Benutzername>\AppData\Roaming*<Eine zufällig benannte EXE-Datei>*
    • C:\Users<Benutzername>\AppData\Roaming<Sechsbuchstabenordner>
    • C:\ProgramData<Zufällig benannte EXE-Dateien>

  3. Wenn Sie die ausführbare Datei finden, die Erkennung vermeidet, senden Sie ein Sample ein.

  4. Wenn Sie die ausführbare Datei nicht finden können, wenden Sie sich an Sophos MDR Rapid Response.

Video zur Bereinigung von Trickbot oder Emotet

In diesem Video wird dieser Workflow behandelt.