一段落ついた感じ。ウイルスバスターもきっちり「隔離」してくれているようで、とりあえず落ち着いた。「Emotet」に感染したかな?と思われるときに取るべき行動を書きとめておく。なお、今月再燃したEmotetは下記のよう。
対策
1.対象のPCをインターネットから遮断する
2.影響しそうな顧客、職員に連絡
3.Emocheck
4.ウイルスチェック
5.メールのパスワードを変更
1.対象のPCをインターネットから遮断する
まずはインターネットから切断する、LANケーブルを抜く、wifiからも外すこと。wifiはルーターそのものをシャットダウンします。
2.影響しそうな顧客、職員に連絡
どこまで影響するか難しいところ。メールのやりとりをする職員、顧客に電話等で連絡する。「当社の名前を騙るメールに注意してください。Emotetです。」過去にやりとりのあったメール先(受信、送信)は全て対象となる。
3.Emocheck
下記のサイトより最新のバージョンを入手すること。使用している端末に応じ「emocheck_x86.exe」または「emocheck_x64.exe」を使用する(不明な場合はemocheck_x86.exeを使えばOK)。
◎JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases
4.ウイルスチェック
信頼のおけるウイルスソフトで全検索する。またマルウエアもチェックする(一応、「Malwarebytes」のフリ版ーでチェックした)。Emotetは種々のマルウエアを呼び込むようです。
5.メールのパスワードを変更
メールアドレスも変更した方が良いが業務に支障を来たす。最低限の処置としてメールサーバのパスワードを変更する。PC側をクリーンにしてもメールサーバーのパスワードが盗まれていると、際限なく踏み台にされます。新しいパスワードは安全な状態に強化する。