【ウイルス】Emotetを駆除する方法【メール】

最近取引先を装ったウイルスメールが送られてきます。社内でも注意喚起を徹底していますがいつ感染するかわかりません。ウイルス感染を想定し、Emotetをどのように駆除するかを予習しておきます。

Emotetとは？

Emotetに感染する経路は大体こんな感じ。
ウイルスを仕込んだ添付ファイルをつけてメールを飛ばします。受けとった人がその添付ファイルを実行します。実行された端末の連絡先情報を取得し、ウイルスをさらにその連絡先に向けて拡散します。
さらにはブラウザのログイン情報なども盗んでいくようです。恐ろしい…
くわしくは、下記のページをご覧ください。最初は2019年に登場し、いったんおさまったものの、第2波が襲ってきたようです。現実世界のウイルスも大変なのにまいりましたね…。

Emotet（エモテット）関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「Emotet（エモテット）関連情報」に関する情報です。

www.ipa.go.jp

感染したかを確認する

まずはツール「EmoCheck」で感染したかどうかを確認します。ツールのダウンロードはこちらから

Releases · JPCERTCC/EmoCheck

Emotet detection tool for Windows OS. Contribute to JPCERTCC/EmoCheck development by creating an account on GitHub.

github.com

64bitと32bitが用意されていますので、パソコンに合わせてダウンロードします。（ちなみにどっちかわからない場合はx86を実行してみてください。間違えたのを実行してもPCは壊れません。）

さっそく実行してみましょう。感染していない場合は、

[結果]
検知しませんでした。

と表示されます。もし感染したら…

[結果]
Emotetを検知しました。

[詳細]
プロセス名　　： 〇○〇.exe
プロセスID      ： xxxx
イメージパス　： C:\Users\papa\AppData\Local\hogehoge\hoge.exe

のように表示されます。「プロセス名」「プロセスID」「イメージパス」この情報は後で使用します。大事な情報です。

隔離する

感染したPCのネットワークを切ります。有線であれば有線ケーブルを引っこ抜けばよいですが、無線を使用している場合は、無線をオフにしてください。

無線をオフにする方法
1. 画面右下の無線の電波マーク（もしくはPCディスプレイマーク）をクリック
2. Wi-Fiボタンを押してオフにする

それから感染したメールアドレスのパスワードも変更しましょう。Emotetがメールアドレスのパスワードを盗んでなりすましを行うようです。感染していないPCから感染したメールアドレスのパスワードを変更しましょう。

注意！！
同時に次のログインID,パスワードも変更する方が望ましい。
・Windowsログイン情報
・ブラウザに保存されているログイン情報

Emotetを駆除する

1. Emotet本体をフォルダごと削除する

EmoCheckで出力された「イメージパス」の「C:\…\AppData\Local」以下のフォルダごと削除します。

2. レジストリエディタにあるEmotetの情報を削除する

レジストリエディタで以下にアクセスします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

この一覧にEmoCheckで出力された「イメージパス」があればそれを削除します。

3. プロセスに登録されているEmotetの情報を削除する

タスクマネージャーを開き、EmoCheckで出力された「プロセス名」と「プロセスID」を元に探し出し、「タスクの終了」をします。

まとめ

あやしいメールは開かない。開く前にメールアドレスが本人のものか確認する。定期的なウイルスチェックを行う。