trash-art

Emotet(エモテット)に感染したパソコンの復旧を行いました。

知人からコンピュータウイルスに感染したパソコンを見て欲しいという依頼がありました。

どうせ簡単なウイルスだろうと高をくくっていたのですが、実際に対峙してみると、これがかなりの曲者だということが判明したので情報共有の意味をこめてここに記録しておきます。

感染の経緯はこんな感じ

取引先からのメールに、見積り・請求関係のタイトルがついたファイルが添付されており、それを無意識に開いて感染。

件のパソコンにはウイルス対策等は施されていなかった。

もちろんUTM等の設置も無し。プロバイダによるウイルスチェックサービスも無し。

そのためEmotetに感染したパソコンから第三者へウイルス付きメールが送信される。

Emotetのやっかいなところは、なりすましメールを作成すること

実際にメールソフトで過去にやりとりした相手に対して、過去のメール本文を利用して、ウイルス付きメールを作成するので、タイトルや発信元だけでは判断がつきにくいです。

そのためメールソフトでウイルス対策を施していない場合、発信元の氏名だけを見て判断すると、簡単に感染してしまします。

亜種はメール本文内のURLをクリックすると、感染するというパターンも。

詳しくはJPAに解説ページがありますので、参考にされてください。

「Emotet」と呼ばれるウイルスへの感染を狙うメールについてhttps://www.ipa.go.jp/security/announce/20191202.html

実際に行った作業

物理的にネットから隔離

感染が分かった時点で、インターネットとパソコンの接続を物理的に切断。

この場合はONUからルータへのLANケーブルを抜きました。

感染の有無をウイルス対策ソフトで確認、駆除

筐体の中にアクセスするので、ついでにお掃除も!

お仕事で使われているパソコンだったので、業務終了後にパソコンのHDDを取り出して、USB3.0接続の外付けHDDに移植。

移植したHDDをウイルス対策済のPCにつないで、ウイルスバスターでスキャンしました。

これまで、Windows標準のDefender以外に、ノートン、マカフィー、ウイルスバスター、ESET、ウイルスセキュリティゼロを使ったことがありますが、マカフィーは突然必要なファイルが見えなくなる現象があり、ノートンは重い、ウイルスセキュリティは誤検知したことがあるので、ウイルスバスターかESETが私のお気に入りになっています。ここは個人的嗜好が顕著に出るところですね。

ウイルスバスターはちょっと重いのですが、初心者にはスマホアプリもあるので、家のパソコンとスマホを管理したい方にはお薦めです。

— PR —

ESETはサポートがイマイチですが、ソフトが軽いので、メモリの少ないPCが多い会社さんにお勧めしていました。

<PR>

でも最近はUTMとWindowsDefenderの組合せもちらほら。

で本題と逸れましたが、ウイルスバスターで脅威を検出したPCが複数台あり、駆除できたというレポートが表示されたので、HDDを元通りにPCに納めて、起動するのを確認。

念には念を入れてEmocheckで再度確認

これでも心配な方はダブルチェックをした方が安心ですので、Emotetの感染の有無を調べるのに特化したEmocheckを使いましょう。

使い方はこちらのページの2-1.EmoCheckによるEmotet感染有無の確認をご参照下さい。

https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

直接のダウンロードはGitでもできるようです。
https://github.com/JPCERTCC/EmoCheck/releases

ウイルスバスターで駆除されているのが信用できなかったのですが、こちらで感染が確認できなかったので、今回は駆除完了です。

ただし、このEmotet、感染したPCを駆除したからといって、自分のPCからのメール送信はおさまるんですが、一度汚染されたメールアドレスは、第三者のPCからなりすましメールの送信元として悪用されたりするので、この事態が収束するまでしばらくの間、自分が送信したわけではないメールのせいで、お叱りや苦情の連絡が来る可能性は0にすることはできません。

こうならないためにも常日頃からOSは最新版に、ウイルス対策は最新定義ファイルでしっかりと防衛、などなどできることに取り組んでおく必要があることを再認識するいい機会となりました。

また2020年4月に総務省よりセキュリティガイドラインが定められていますので、お仕事でIT機器を使っている個人や企業はコンプライアンスの観点から、ガイドラインに抵触しないか確認しておくと安心ですね。

総務省:国民のための情報セキュリティサイトhttps://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html

熊本県内にお住まいの方でEmotetに感染してお困りの方がいらっしゃいましたら、低額な料金で復旧できることがありますので、お気軽にお問い合わせ下さい。

お問い合わせはこちら

モバイルバージョンを終了