habilitados para macros, archivos o enlaces maliciosos. Es capaz de infectar redes en cuestión de minutos moviéndose como un gusano en ellas. Para más información sobre el malware Emotet ver aquí.
¿Qué pasó?
El Equipo de Respuestas a Emergencias Cibernéticas de Japón (JPCERT), ha lanzado una nueva utilidad, orientada a usuarios de sistemas operativos Windows, que permite comprobar fácilmente si un equipo está o no infectado por el malware tipo troyano Emotet. A esta utilidad la han bautizado como EmoCheck y es posible descargarla directamente desde el repositorio oficial de GitHub del CERT de Japón. Una vez ejecutado procederá a escanear el equipo en busca del malware Emotet y en el caso de encontrarlo informará al usuario el ID del proceso bajo el cual se está ejecutando y la ubicación del archivo malicioso.
¿Cómo utilizar EmoCheck?
Una vez descargada la utilidad, se debe ejecutar emocheck_x64.exe o emocheck_x86.exe dependiendo de la arquitectura del sistema operativo a ser analizado.
Si en la pantalla se logra visualizar el mensaje de “Detected”, el equipo se encuentra infectado con el malware, y se deben seguir los pasos para la desinfección del mismo (indicados más abajo en este texto).
Podría darse el caso de que no aparezca el mensaje ejecutando la utilidad con privilegios no administrativos, y que Emotet se esté ejecutando con privilegios administrativos, por lo que la recomendación es, siempre que sea posible, ejecutar la utilidad EmoCheck también con esos mismos privilegios, para verificar si efectivamente el equipo se encuentra infectado o no.
EmoCheck además almacena la información visualizada en pantalla en un archivo de texto para su posterior verificación, el mismo se encuentra en: [ruta de donde se ejecuta el emocheck.exe]\AAAADDHHMMSS_emocheck.txt.
Recomendaciones:
- En caso de que en el análisis realizado al equipo haya sido confirmada la infección. Se deben seguir los siguientes pasos para la desinfección:
- Iniciar el administrador de tareas de Windows, y seleccionar el “ID de proceso”, en el caso del ejemplo “3020”, que se muestra en el resultado de la ejecución y por último en la pestaña Detalles, seleccionar Finalizar tarea.
- Eliminar el archivo malicioso, para ello se debe dirigir al directorio que se muestra en el resultado de la ejecución “C:\User\/*\\AppData\Local\symbolguid” en el caso del ejemplo, localizar el archivo .exe “symbolguid.exe” , para el caso del ejemplo y eliminarlo.
- Una vez realizado los pasos para la desinfección, se debe escanear nuevamente el equipo con EmoCheck y así confirmar que el troyano ha sido eliminado por completo.
- Escanear el equipo con un antivirus para asegurarse que no se haya descargado e instalado otras variantes de malware.
- En caso de que el equipo se encuentre en una red corporativa, se recomienda:
- Aislar el equipo, para así evitar la propagación de Emotet.
- Cambiar todas las contraseñas utilizadas en el equipo, inclusive las contraseñas de las cuentas de correo electrónico y contraseñas almacenadas en el navegador de ese equipo.
- Monitorear la red a la cual pertenecía ese equipo en busca de otros equipos que podrían estar infectados.
Referencias: