You are in rock

*いしのなかにいる*

Emotet覚書3

Emocheck使い方

 

1.Emocheckの入手

下記のサイトより最新のバージョンを入手すること。使用している端末に応じ「emocheck_x86.exe」または「emocheck_x64.exe」を使用する(不明な場合はemocheck_x86.exeを使えばOK)。

 

◎JPCERTCC/EmoCheck - GitHub

https://github.com/JPCERTCC/EmoCheck/releases 

 

f:id:mzo:20220326103829p:plain

 

2.Emocheck実行

ダウンロードしたemocheck_X.XXを実行する。

f:id:mzo:20220326104513p:plain

画面で結果が表示される(▲検出されなかった結果)。また、同時に「以下のファイルに結果を出力しました。」とディレクトリに結果がテキスト出力されます。

なお、検出された場合。下記の様になります。

f:id:mzo:20220326105258p:plain

この場合、「イメージパス」で示された場所にEmotetの本体があります。それを削除してください。

ただし、多くの場合「実行中」で削除できません。タスクマネージャーで実行中のプログラムを確認し「プロセス名」「プロセスID」から見つけ出し。プロセスを止めてください。Emotetのプロセスが見つかったら、右クリックして「タスクの終了」を選択します。

f:id:mzo:20220326105830p:plain

(▲この図ではプロセス名が異なっていますが見つけたら「右クリック-削除」です。)

これで先ほど見つけたEmotet本体を削除できるようになります。

 

1.Emotetの感染自動起動を確認する

次に、Emotetの自動実行設定の有無を確認します。レジストリーを操作するので十分注意すること。

Windows]+[R]キーで「ファイル名を指定して実行」ダイアログボックスをひらき「regedit」の入力する。

 

f:id:mzo:20220326110633p:plain

 

f:id:mzo:20220326110805p:plain

 

「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 」

を辿っていきます。

f:id:mzo:20220326111104p:plain

上記のような表示となります。「名前」のところに不審なものがあればそのキーを削除します。

また、他にもEmotetが存在する可能性の高いフォルダとして下記の場所があります。これらの場所に不審な(身に覚えのない)実行ファイルがないか確認します。とくに1番目の「C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ」は注意です!

  • C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
  • C:\Windows\Syswow64
  • C:\Windows\system32\
  • C:\
  • C:\Windows\
  • C:\ProgramData\

これらの場所から実行ファイルを削除する場合にも、「実行中」で削除できなければタスクマネージャで止めること。

 

補足!

・現時点では、Windows以外のOSで感染はしない(Mac OS, Linux, iOS, Android等)

・ Emotetに窃取されたメールの送信は止められない

なりすましメールは継続して送信される。メルアドの情報 (メール履歴やアドレス帳の情報) は攻撃側に取り込まれ済みで、不特定多数の攻撃側 から送られます。なりすましの送信自体は止められません!ですので自分が関係する方々への注意喚起が大事です。

blogs.jpcert.or.jp