2020年8月くらいからマルウェアのEmotetがものすごい勢いで広がっています。
どのくらい広がっているのかは以下の記事を参照ください。
JPCERT
マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
IPA
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
日経 X TECH
Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04541/
ということで、JPCERTさんのEmocheckを利用した感染確認と感染時の対応手順です
2020/10/02 追記
Emotetのやっかいなところは、以下の流れから自分の名前や送信したメールがウィルスメールとして悪用されることを防ぐことができない点です。
→メールの送信先PCが感染。
→感染PCのメールや連絡先が漏洩。
→送信者名とメール本文(未感染者の名前と本文)がウィルスメールとして悪用。
となるため、どれだけ注意していても自分だけでは名前とメールの悪用を防ぐことができません。
しかも、実際に送ったメールの添付ファイルの中身だけをウィルス付ファイルにしたり、対策ソフトをすり抜けるためにウィルスファイルをパスワード付zipにされたりするため、油断していると開いてしまう可能性がとても高いという点です。
動画
図説
- JPCERTさんのサイト
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
に案内のあるダウンロードサイトを開きます。
https://github.com/JPCERTCC/EmoCheck/releases
- ダウンロードサイトからPCに適したexeを選択。
64bit → ~x64.exe
32bit → ~x86.exe
- ダウンロード完了後、…をクリック → フォルダーに表示を選択
(フォルダーに表示などはブラウザーによりことなります。)
- emocheck_~.exeを右クリック → 管理者として実行 を選択。
- Emotetは検知されませんでした。 と表示されれば恐らく感染していません。
- Emotetのプロセスが見つかりました。
不審なイメージパスの実行ファイルを隔離/削除してください。
と表示された場合、感染時の対応に進みます。
感染時の対応
- タスクバーを右クリック → タスクマネージャーを選択。
- 詳細タブの名前列とPID列から検知されたプロセス名とプロセスIDに一致するプロセスを探して選択 → タスクの終了 を選択。
- 検知情報のイメージパス欄のフォルダ部分をコピー。
- エクスプローラーを開き、コピーしたフォルダ部分をアドレス欄に貼り付け → エンターキーを押します。
- 実行ファイルを見つけて削除
ここまでがとりあえずの作業です。
これ以上はJPCERTさんのサイトの2-2からを実行してください。
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
