別件でお伺いしたお客様のPCですが、ここ数日Emotet(エモテット)感染の被害にあいプロバイダーからメール送信制限を受けて仕事にならないという状況で、別件どころじゃなかったという実録と駆除方法のご紹介です。
Emotetに感染したら
現在爆発的に感染が広がっているEmotetです。このマルウェアはメールの添付ファイルから感染していきますが、見るからに怪しいメールと違って、いかにも知り合いからのメールのように偽装してくるので、感染拡大が最近になって広がっています。
詳しい情報と感染対策については、一般社団法人JPCERTコーディネーションセンターのサイトに感染チェックツールと対処法が載っているので、最新情報をご確認ください。
感染経緯
感染日不明 仕事関係の方を装ったメールの添付ファイルを開いてしまい感染。
今月15日 大量の「MAILER-DAEMON」または「failed delivery」などの送信エラーメールが届き始める。それと同じくプロバイダーの@niftyからメール送信制限をかけたとメールが届く。
翌16日 知り合いや仕事関係の詳しい方から、変なメールが届いたけど大丈夫?や、Emotet感染じゃないのか?との電話などが来て、感染したのを知りPCの電源を落とす。
翌17日 私が来る日だったので、見てもらう。
応急対応・状況
私がPCを見た時点で、すでにWindows10標準セキュリティのWindows Defenderから「感染がブロックされました」の通知が出ていました。すでにWindows DefenderはEmotetに一部対応しているようです。
ただし、Emotetが完全に駆除されているわけではなく、増殖⇒発見⇒削除を続けているようです。
EmJPCERTのチェックツールEmoCheckでチェックしたら、とりあえず実行プロセスは存在していないようです。
Malwarebytes Freeでスキャンと駆除
マルウェア駆除にめっぽう強いMalwarebytes Free版を使い、スキャンと隔離をしました。隔離されたアイテムは即完全削除です。
Malwarebytesは14日試用版しかダウンロードできませんが、あとからFree版にすることができます。もちろん気に入れば購入してください。(下記過去記事参照)
メール送信制限を解除してもらうためには
メールのISPは@niftyなのですが、@niftyでメール送信制限を解除してもらうためには、以下の3項目に対応したあとじゃないと解除を受け付けてくれません。
メール送信制限解除の条件
- Emotetを駆除していること
- Windows Updateの更新を最新状態までアップデートしていること
- @niftyのログインパスワード、メールパスワードを変更していること
@niftyのサポートに電話したところ、つながるまで小一時間待つことになりました。上記3項目を実施していることを確認したのち、メール送信制限解除まで数日かかるとのことでした。現在、Emotet感染拡大のためメール送信制限解除の処理待ちがたくさんあり、解除されたら連絡いただけるようですが、ちょっと何日かかるか不明とのことでした。
それまではメールソフトでメール送信ができませんが、WEBメールサービスからは送信できるそうです。数日はWEBメールでメール対応していただくしかないようです。
以上で応急処置的なEmotet対応となりましたが、今後も「MAILER-DAEMON」または「failed delivery」などの送信エラーメールが届き続ける場合は、PC初期化まで考えなくてはいけなくなるかもしれません。
また、WEBサービスを利用するパスワードなども、できれば全てパスワード変更と利用履歴の確認をしたほうが良いと思います。