Emotetに感染したPCの駆除対応してきたドキュメント

2022/03/18[公開]

 別件でお伺いしたお客様のPCですが、ここ数日Emotet(エモテット)感染の被害にあいプロバイダーからメール送信制限を受けて仕事にならないという状況で、別件どころじゃなかったという実録と駆除方法のご紹介です。

スポンサーリンク

Emotetに感染したら

 現在爆発的に感染が広がっているEmotetです。このマルウェアはメールの添付ファイルから感染していきますが、見るからに怪しいメールと違って、いかにも知り合いからのメールのように偽装してくるので、感染拡大が最近になって広がっています。

 詳しい情報と感染対策については、一般社団法人JPCERTコーディネーションセンターのサイトに感染チェックツールと対処法が載っているので、最新情報をご確認ください。

感染経緯

感染日不明 仕事関係の方を装ったメールの添付ファイルを開いてしまい感染。

今月15日 大量の「MAILER-DAEMON」または「failed delivery」などの送信エラーメールが届き始める。それと同じくプロバイダーの@niftyからメール送信制限をかけたとメールが届く。

翌16日 知り合いや仕事関係の詳しい方から、変なメールが届いたけど大丈夫?や、Emotet感染じゃないのか?との電話などが来て、感染したのを知りPCの電源を落とす。

翌17日 私が来る日だったので、見てもらう。

応急対応・状況

 私がPCを見た時点で、すでにWindows10標準セキュリティのWindows Defenderから「感染がブロックされました」の通知が出ていました。すでにWindows DefenderはEmotetに一部対応しているようです。

すでにDefenderがブロックしていた
すでにDefenderがブロックしていた

 ただし、Emotetが完全に駆除されているわけではなく、増殖⇒発見⇒削除を続けているようです。

ただし増殖は続けている模様
ただし増殖は続けている模様

EmJPCERTのチェックツールEmoCheckでチェックしたら、とりあえず実行プロセスは存在していないようです。

EmoCheckで検出なし
EmoCheckで検出なし

Malwarebytes Freeでスキャンと駆除

 マルウェア駆除にめっぽう強いMalwarebytes Free版を使い、スキャンと隔離をしました。隔離されたアイテムは即完全削除です。

2アイテムを隔離(その後削除)
2アイテムを隔離(その後削除)

 Malwarebytesは14日試用版しかダウンロードできませんが、あとからFree版にすることができます。もちろん気に入れば購入してください。(下記過去記事参照)

メール送信制限を解除してもらうためには

 メールのISPは@niftyなのですが、@niftyでメール送信制限を解除してもらうためには、以下の3項目に対応したあとじゃないと解除を受け付けてくれません。

メール送信制限解除の条件

  1. Emotetを駆除していること
  2. Windows Updateの更新を最新状態までアップデートしていること
  3. @niftyのログインパスワード、メールパスワードを変更していること

 @niftyのサポートに電話したところ、つながるまで小一時間待つことになりました。上記3項目を実施していることを確認したのち、メール送信制限解除まで数日かかるとのことでした。現在、Emotet感染拡大のためメール送信制限解除の処理待ちがたくさんあり、解除されたら連絡いただけるようですが、ちょっと何日かかるか不明とのことでした。

 それまではメールソフトでメール送信ができませんが、WEBメールサービスからは送信できるそうです。数日はWEBメールでメール対応していただくしかないようです。

 以上で応急処置的なEmotet対応となりましたが、今後も「MAILER-DAEMON」または「failed delivery」などの送信エラーメールが届き続ける場合は、PC初期化まで考えなくてはいけなくなるかもしれません。

 また、WEBサービスを利用するパスワードなども、できれば全てパスワード変更と利用履歴の確認をしたほうが良いと思います。

スポンサーリンク

コメントを残す

メールアドレスが公開されることはありません。