Bu rehber, gerçek Emotet örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

Emotet Nedir?

Emotet, ilk olarak 2014 yılında gözlemlenen bir Yükleyici (Loader)'dır. Temel amacı ek zararlı yazılım indirip çalıştırma ve kalıcılık sağlama olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

Emotet is a modular banking trojan turned botnet/loader. One of most prolific malware distributors. Sends malspam, drops TrickBot, Qakbot. Polymorphic.

Atıf / Tehdit Aktörü: TA542 (MUMMY SPIDER) - Ukrayna kokenli oldugu dusunulen organizasyon. 2021'de Europol/FBI tarafindan coguyla tutuklandi; 2022'de geri dondu.

Teknik Detay: C dili, HTTP C2 (RSA+AES sifreleme), modular yapi (email stealer, spreader, Outlook harvester), process hollowing, living off the land (regsvr32, mshta, certutil), Epoch1/2/3/4/5 botnet

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Emotet örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
0452908a27eb9abf853e8d1b099322a77f2ecb4096be26499457f844de273377SHA256Emotet
251037ceebfbacd419b663ebcf0e01ec80a2c46dbfc85f66492c8585b481fb8cSHA256Emotet
45171981ac23dcb7e90dd9a3ce07415720be92815bcd2ccfe51e716d736eab3eSHA256Emotet
4aed0f0c266ad694c47c0661bb5c0a4519d02fdeb9d76abade9145ec6791f77fSHA256Emotet
5a4eae20292dbcf6b7874bc5b7a77497da6d89438798daa40e84b29512decd84SHA256Emotet
bb1bc8e7ae4e31eee7b117a825b576e9MD5Emotet
803385cf25070740f5b09e685d2f531cMD5Emotet
ad3d0b53f8eb6b05ee9623b16a7e0f30MD5Emotet
7316a36c619c7e42918e03aacf74783cMD5Emotet
3476a08b03a01ea3c686429068025ef5MD5Emotet

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Emotet Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.