2021/11/14から活動再開
が確認されたEmotetでは、メールにdocmファイル、xlsmファイル、パスワード付きzipファイルが添付されるケースを確認しています。また、メール内のリンクからdocmファイル、xlsmファイルがダウンロードされるケースを確認しています。(一社)JPCERTコーディネーションセンター
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

Emotetに感染、メールの送信を止めるには?

止められません。

窃取されたメールアドレスの情報は既に取り込まれており、不特定多数のメールアカウント から送られるため、送信は止められません。

何が搾取されたか

• 過去に送受信したメールアドレスと表示名
• 過去に送受信したメールのメール件名とメール本文(添付ファイルも取得される)

これを使ってメールが送信され続ける。。

今後、繰り返しマルウエア添付メールを受信したり、なりすましメールが関係者に送られます。
メール、およびアドレス帳に含まれていたメールアドレス対象の関係者へ謝罪と注意喚起と賠償等。メールアドレスの廃止変更に向けて行動する。

JPCERT/CCの2022年3月2日の統計では、.jpメールアドレスだけで9000個弱発見されています。

添付Wordファイルはウイルスです(zipもある)、ダブルクリックするな。15日から毎日来る。ノーガードのPCが感染する。

注意点

実在の相手のメールアドレスから来るので開いてしまう。
ー送信者として表示されているメールアカウント名の端末は必ずしも感染しているとは言えませんー

Trojan-Downloader.VBA.Emotet  エモテット

Emotetに感染すると

過去に送受信したメールアドレスと表示名
過去180日に送受信したメールのメール件名とメール本文、添付ファイルが取得される。
→　なりすましメールを関係者にばらまき増殖する、無限ループ。

TrickBot や Qbot (Qakbot) などの別のマルウェアをダウンロード、結果として、ランサムウェアを用いたデータの暗号化や暴露といった被害に繋がってしまう。

ランサムウェア：ファイルを暗号化し開けなくする、開くために金を要求される。

身代金要求型ウイルス、暗号化解除は不可能。→　要求に応じる・・・。大儲け。

ー追加9月28日ー

◆ご入金額の通知・ご請求書発行のお願い

お世話になっております。

どうぞよろしくお願いいたします。

_____________________________

ホールディングス株
_____________________________

ー追加9月19日ー

◆協力会社各位

協力会社各位

協力会社各位

お世話になっております。

標記の件、08/31（月）に皆様にお送りしたご案内に修正事項がございます。
以下に要点を記載いたしますのご確認の程お願いいたします。

お心当たりがある業者様は取り急ぎご連絡いただきますようお願いいたします。
今後の手続きについてご案内いたします。

この度は当方の不手際でご迷惑をお掛けし、大変申し訳ございません。

◆請求書の件です。

請求書の件です。6294022 20209月15

お世話になっております。

一旦、各請求書・清算書をお送り致します。

どうぞよろしくお願いいたします。

—-

e-mail

請求書の件です。 319_20209月16

Emotet感染有無の確認

詳細はこちら : 一般社団法人 JPCERT コーディネーションセンター

マルウエアEmotetへの対応FAQ

2020年2月7日現在、JPCERT/CCでは、情報提供ベースで延べ約3,200組織の感染を確認しています。

Emotet に感染しメールやメールアドレス等の情報が漏えいしてしまった場合、継続してなりすましのマルウエア添付メールが送られます。送信自体は止められません。
今後、繰り返しマルウエア添付メールを受信したり、なりすましメールが 関係者に送られます。

どうすればいい・・

感染判明したPCのアドレス帳、本文、送受信履歴、添付ファイル内にある相手先すべてに連絡、検査要請、メールアドレス廃版変更のお知らせか・・oh・・・・

■検査ツール EmoCheck のダウンロード

下記リンクより「EmoCheck」をダウンロード　（JPCERT作)

32bit→emocheck_x86.exe　64bit→emocheck_x64.exeをダウンロード。
(不明な場合はemocheck_x86.exeを使用)。

JPCERTCC/EmoCheck – GitHub
ここから→　https://github.com/JPCERTCC/EmoCheck/releases

■感染が疑われるPCでEmoCheckの実行

ダブルクリックにより実行。

次のように「Emotetのプロセスが見つかりました」と表示されていた場合には、Emotetに感染しています。

イメージパスが表示されない場合はEmotetが管理者権限で動作している可能性があります。EmoCheckを管理者権限で実行する。

確認結果はEmoCheckがある同じフォルダにtxtファイルとしても出力される。例)デスクトップ

■感染時の対応

陽性判定が出た場合10日間の隔離期間が要求されます。

Emotetへの感染が判明した場合には、検出ファイルを削除しEmotetを無効化する。

1.プロセス名に表示されている実行ファイル(＊.exe)を停止。
・Ctrl＋Shift＋Esc 同時押しでタスクマネージャー起動。タスクの終了。

２.プロセス名に表示されている実行ファイルを削除する。
・エクスプローラー でイメージパスへ行き削除。
※AppDataフォルダは隠しフォルダになっているので表示で隠しフォルダを表示にする

３.再度EmoCheckを実行する。

４.PCを再起動させて、再度EmoCheckを実行する。

検出されなかったら次へ　検出されたら◆自動起動設定の確認へ

５.ウイルス対策ソフトの定義ファイルを最新に更新し、完全チェックを行う。

新規導入例）ウイルスバスター クラウド(最新)| すぐ利用可 | オンラインコード版

まずはここまではする。

◆自動起動設定の確認

• スタートアップ
• タスクスケジューラ
• 自動起動レジストリ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
• サービス

[Emotetが存在する可能性の高いフォルダ]

C:\Users(ユーザ名)\AppData\Local\ 配下のフォルダ
C:\Windows\Syswow64
C:\Windows\system32\
C:\
C:\Windows\
C:\ProgramData\

Tweet