bomb_log

セキュリティに関するbom

トップ > Emotet感染時の対応

Emotet感染時の対応

Emotetに感染していることが判明した場合の対処方法です。
Emotetは時間と共に手法が変化するため、あくまで記載当時(2020/01/27)の暫定対応手順です。自己責任で実施ください。

なお、Emotetは駆除が困難な場合がありますので、対処できない場合には専門家へ相談してください。

マルウェアEmotetは、ウイルス対策ソフトの検知を逃れることが多いです。
そのため、ウイルス対策ソフトのフルスキャンで何も検知しなかったからと言って、感染していないとは言い切れません。
そのため、感染しているかどうか、確認する必要があります。

 

以下、想定される対応順を記載します。

■1. 感染が疑われる端末を探す

悪用されているメールアドレスを使っている端末が感染している可能性が高いです。

以下の記事を参考にしてください。
https://bomccss.hatenablog.jp/entry/emotet

 

■2.感染している端末をネットワークから切り離す

有線LANの抜線だけでなく、無線の場合には無効化も必要です。
WIndows10の場合は以下で無線(Wi-Fi)の無効化が可能です。

f:id:bomccss:20200126171408p:plain

 

■3.悪用されているメールアドレスのパスワードを "他の端末から" 変更する

Emotetに感染すると、メールのアカウント、パスワードを盗まれ、悪用されます。そのため、メールアカウントのパスワードを変更する必要があります。
感染している端末で変更すると、変更したパスワードも盗まれる可能性がありますので、感染していない他の端末から変更します。

  

■4.Emotetの感染有無を確認し、削除する

Emotetに感染している場合、以下のパスにEmotet本体のexeが存在する可能性が高いです。
C:\Users\<ユーザ名>\AppData\Local\<特定の名前>\<特定の名前>.exe
<特定の名前> はどちらも同じ名前ですが、以下のリストの中から2つの単語を繋げたものになります。例えば、pfxformat.exe など。

duck,mfidl,targets,ptr,khmer,purge,metrics,acc,inet,msra,symbol,driver,sidebar,restore,msg,volume,cards,shext,query,roam,etw,mexico,basic,url,createa,blb,pal,cors,send,devices,radio,bid,format,thrd,taskmgr,timeout,vmd,ctl,bta,shlp,avi,exce,dbt,pfx,rtp,edge,mult,clr,wmistr,ellipse,vol,cyan,ses,guid,wce,wmp,dvb,elem,channel,space,digital,pdeft,violet,thunk

f:id:bomccss:20200126175023p:plain
※この例は古いため、exeの名前に使われるリストが古く、上記リストには当てはまっていません。

Emotetのexeが見つかった場合、フォルダ毎削除してください。

 

また、感染している場合には以下のレジストリキーに上記exeが登録されています。

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 ※端末にログインした際に自動的に実行されるプログラムの登録先

レジストリエディタ (regedit.exe) から、上記キーを探します。

f:id:bomccss:20200126174633p:plain

※以下の例では1つしか登録されていませんが、通常はadobechromeなど様々なものが登録されています。データに記載されているパスが上記Emotetのexeの場所にあたるものがあるか確認してください。

f:id:bomccss:20200126175053p:plain

なお、PowerShellを使って、以下のように調べることも可能です。

powershell.exe Get-Item -Path "Registry::HKLM\Software\Microsoft\Windows\CurrentVersion\Run"

レジストリレジストリエディタから削除してください。 

なお、Emotetのexeは感染状況によっては、上記以外にも潜伏している可能性があるため、更に対処を行います。

■5.Emotetのexe本体を探し、削除する。

組織内で大量に感染している場合、他にも以下にEmotetのexeが置かれるケースがあります。(組織内で横展開が行われた場合) 
この場合には、上記の<特定の名前>.exeだけでなく、<数字8桁>.exeの場合も確認しています。
  ・ C:\
  ・ C:\Windows
  ・ C:\ProgramData\
  ・ C:\Windows\system32\
  ・ C:\Windows\Syswow64\

これらの場所にもEmotetが存在した場合、組織内で横展開が行われている可能性が高いです。そのため、セキュリティ専門組織へと相談していただくのが望ましいです。

なお、組織内で横展開されていた場合、管理共有を使ってexeが他の端末に置かれ、管理者権限で実行されサービスとして登録されるケースを確認しています。
思い当たる場合には、管理共有の制限とサービスとして登録されているexeの確認を推奨します。 

■5.Trickbotの感染有無の確認

Emotetは主にTrickbotにも感染させます。Trickbotは以下にファイルを作成します。
  ・ C:\ProgramData\<ランダムな名前>.exe
Trickbotの実行はタスクスケジューラに登録されます。上記パスに対する登録を見つけ、exeと共にタスクを削除してください。

 

 

<参考>

こちらも参照ください。
 ・JPCERT/CC マルウエアEmotetへの対応FAQ
   https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

 

不備等ありましたら、ご連絡ください。

 

以上。