ホーム / セキュリティ /

マルウェア「Emotet」に感染したくないから、「EmoCheck」と「EmoKill」の使い方、利用方法をまとめてみた!

2021年2月10日水曜日

Emotet セキュリティ

t f B! P L

 

はじめに

世間を騒がしている「Emotet」。2014年ごろから確認されているマルウェアだが、流行と鎮静化を繰り返しながら変異を続けており、今もなお大きな影響を及ぼしている。2020年は、多数の企業が被害を受けた年になった。

Emotetに一旦感染するとやっかいだ。そのモジュールがさらに別のモジュールをダウンロードする。ダウンロードされたモジュールは、ほぼ間違いなく悪意のあるコードだろう。

Emotetは通常、メールの添付ファイル、またはメール内のリンクを介して伝播および拡散される。クリックする、または開かれると、悪意のあるモジュールが起動する。起動したマルウェアはユーザーの資格情報をつかって、PC内の情報搾取やストレージ暗号化、身代金の要求を行ったり、ネットワーク内にある他のマシンに対して攻撃の幅を広げていく。今後も、Emotetフィッシングメールを使用したサイバーが継続して行われるだろう。やられる前に、きっちり対策しておきたい。EmoCheckやEmoKillの使い方、利用方法についてまとめる。

「Emotet」についての基本的な知識や対策

「Emotet」についての情報提供や基本的な対策は、IPA(情報処理推進機構)のサイトや、JPCERT/CCの公式ブログにまとめられている。以下2つのサイトを見れば、基本的な知識と対処方法が理解できる。

■「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html

■マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

対処方法として、

  • 送信者に心当たりがあるかどうかだけで、メールの内容を信頼しない
  • 心当たりのない添付ファイルは開かないようにする
  • Officeの「マクロ設定」で「警告を表示してすべてのマクロを無効にする」に設定する
  • Officeファイルを開いたときに表示される「コンテンツの有効化」はクリックしない

など基本的なことが大切なことはもちろんだが、もっと目に見える形でチェックや対処を行うためのツールが用意されているので、それぞれ試してみる。

「EmoCheck」でチェック&対処する

「Emotet」に感染しているかどうかを確認できるWindows向けツール「EmoCheck」がリリースされているので、試してみた。

1.以下URLにアクセスする。
  https://github.com/JPCERTCC/EmoCheck/releases

2.OSのバージョン(bit)に応じて、以下のどちらかをダウンロードする。
  (bitが分からない場合は、x86のほうをダウンロードすればOK)


3.ダウンロードしたexeファイルを、実行する。
以下のように、「Emotetは検知されませんでした。」と表示されれば問題なし! ひとまず安心。


もし、以下のように「Emotetのプロセスが見つかりました。」と表示されたら、Emotetに感染しているので、以下の手順で停止・駆除を実施する。

  1. タスクマネージャーを起動し、詳細タブから実行結果に表示されている「ファイル名」を選択し、タスクの終了を選択する。
  2. 実行結果に表示されている「イメージパス」のうちフォルダ部をエクスプローラーで開き、表示されているexeを削除する。

「EmoKill」で、Emotetプロセスを検出&強制抑止する

EmoCheckのロジックに基づくEmotetのパターンに一致するプロセスを監視、もし見つけたらできるだけ早く強制終了するという。これは、入れておかねば!

1.以下のURLにアクセスする
  https://github.com/ZiMADE/EmoKill/releases

2.最新バージョンの「EmoKill.zip」をダウンロードする

3.zipファイルを適当な場所(「ドキュメント」など)に解凍する

4.解凍されたファイルのうち、「EmoKillConsole.exe」を実行する

5.「1」を入力し、エンターキーで実行する
  (EmoKillをサービスとしてインストール/更新して開始する)


6.エンターを押してひとつ前の画面に戻る

7.「0」を入力してエンターを押せば完了

これで、EmoKillはEmotetのプロセスを検出して強制終了する準備ができているはず。

「EmoKill」の動きをチェックしてみる

さすがに「Emotet」は持っていないので実物では確認できないが、EmoKillに同梱されているファイルの中に、「EmoKillTest.exe」というファイルがある。これを起動すると、擬似的にEmotetに感染したふるまいをしてくれるということなので、起動してみた。

すると、ほんの少しだけ以下のようなウィンドウが表示された後、あっという間に消えていった!有効に機能しているようだ。


基本的な対処方法に留意してPCを使うことはもちろんだが、EmoKillサービスが稼働してくれている安心感はとても大きい。Emotetへの恐怖感を軽減できるお守りとして、活躍してほしい!

このブログを検索

サイトマップ

  • ()
  • ()
もっと見る

Google検索

  • VBScriptでSAP R/3に接続し、テーブルの内容を抽出する(KNA1)
    はじめに バッチファイル的に、SAPからテーブルの内容を引っこ抜きたいことが度々ある。 SAPにはRFCライブラリというものが用意されており、様々なプログラムからSAPシステムに接続 → データを得ることができる。 その一連のロジックをvbsファイルにしておけば、コチコ...
  • oracleとaccessのsqlの違い
    sqlの違いがいろいろあって、結構手間取ったので整理。 文字列を整形する oracle  TO_CHAR access  FORMAT フォーマットについては、ここが参考になった。 ■Format関数の書式 -- みんなのAccess備忘録 http://www.accesscl...
  • SQLServer のテーブルを、ACCESSにコピーする(ADOで1行ずつコピー)
    SQLServer のテーブルを、ACCESSにコピーするにあたり、SELECT INTO というSQL文一発で実行できて便利だ! と書いたのですが、、、 テーブルによっては以下のようなエラーが出て、どうにもならない例がありました。 いろいろと試行錯誤...

マルウェア「Emotet」に感染したくないから、「EmoCheck」と「EmoKill」の使い方、利用方法をまとめてみた!

  はじめに 世間を騒がしている「Emotet」。2014年ごろから確認されているマルウェアだが、流行と鎮静化を繰り返しながら変異を続けており、今もなお大きな影響を及ぼしている。2020年は、多数の企業が被害を受けた年になった。 Emotetに一旦感染するとやっかいだ。そのモジュ...

QooQ