Emocheck使い方
1.Emocheckの入手
下記のサイトより最新のバージョンを入手すること。使用している端末に応じ「emocheck_x86.exe」または「emocheck_x64.exe」を使用する(不明な場合はemocheck_x86.exeを使えばOK)。
◎JPCERTCC/EmoCheck - GitHub
https://github.com/JPCERTCC/EmoCheck/releases
2.Emocheck実行
ダウンロードしたemocheck_X.XXを実行する。
画面で結果が表示される(▲検出されなかった結果)。また、同時に「以下のファイルに結果を出力しました。」とディレクトリに結果がテキスト出力されます。
なお、検出された場合。下記の様になります。
この場合、「イメージパス」で示された場所にEmotetの本体があります。それを削除してください。
ただし、多くの場合「実行中」で削除できません。タスクマネージャーで実行中のプログラムを確認し「プロセス名」「プロセスID」から見つけ出し。プロセスを止めてください。Emotetのプロセスが見つかったら、右クリックして「タスクの終了」を選択します。
(▲この図ではプロセス名が異なっていますが見つけたら「右クリック-削除」です。)
これで先ほど見つけたEmotet本体を削除できるようになります。
1.Emotetの感染自動起動を確認する
次に、Emotetの自動実行設定の有無を確認します。レジストリーを操作するので十分注意すること。
[Windows]+[R]キーで「ファイル名を指定して実行」ダイアログボックスをひらき「regedit」の入力する。
「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 」
を辿っていきます。
上記のような表示となります。「名前」のところに不審なものがあればそのキーを削除します。
また、他にもEmotetが存在する可能性の高いフォルダとして下記の場所があります。これらの場所に不審な(身に覚えのない)実行ファイルがないか確認します。とくに1番目の「C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ」は注意です!
- C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
- C:\Windows\Syswow64
- C:\Windows\system32\
- C:\
- C:\Windows\
- C:\ProgramData\
これらの場所から実行ファイルを削除する場合にも、「実行中」で削除できなければタスクマネージャで止めること。
補足!
・現時点では、Windows以外のOSで感染はしない(Mac OS, Linux, iOS, Android等)
・ Emotetに窃取されたメールの送信は止められない
なりすましメールは継続して送信される。メルアドの情報 (メール履歴やアドレス帳の情報) は攻撃側に取り込まれ済みで、不特定多数の攻撃側 から送られます。なりすましの送信自体は止められません!ですので自分が関係する方々への注意喚起が大事です。