感染した場合の事後処理が大変！

 

• マルウェア が何を期待しているかに依るけども、Emotet Malware の場合
  
  Emotet Malware （ CISA ）
  に依れば
  
  > Currently, Emotet uses five known spreader modules: NetPass.exe, WebBrowserPassView, Mail PassView, Outlook scraper, and a credential enumerator.
  > 1.NetPass.exe is a legitimate utility developed by NirSoft that recovers all network passwords stored on a system for the current logged-on user. This tool can also recover passwords stored in the credentials file of external drives.
  
  > 2.Outlook scraper is a tool that scrapes names and email addresses from the victim’s Outlook accounts and uses that information to send out additional phishing emails from the compromised accounts.
  
  > 3.WebBrowserPassView is a password recovery tool that captures passwords stored by Internet Explorer, Mozilla Firefox, Google Chrome, Safari, and Opera and passes them to the credential enumerator module.
  
  > 4.Mail PassView is a password recovery tool that reveals passwords and account details for various email clients such as Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail, and Gmail and passes them to the credential enumerator module.
  
  > 5.Credential enumerator is a self-extracting RAR file containing two components: a bypass component and a service component. The bypass component is used for the enumeration of network resources and either finds writable share drives using Server Message Block (SMB) or tries to brute force user accounts, including the administrator account. Once an available system is found, Emotet writes the service component on the system, which writes Emotet onto the disk. Emotet’s access to SMB can result in the infection of entire domains (servers and clients).
  
  
  和訳
  1.NetPass.exeはNirSoftによって開発された正規のユーティリティで、現在ログオンしているユーザーのシステム上に保存されているすべてのネットワークパスワードを復元します。このツールは、外付けドライブの資格情報ファイルに保存されたパスワードを復元することもできます。
  
  2.Outlookスクレイパーは、被害者のOutlookアカウントから名前と電子メールアドレスを取得し、その情報を使用して、侵害されたアカウントから追加のフィッシングメールを送信するツールです。
  
  3.WebBrowserPassViewは、Internet Explorer、Mozilla Firefox、Google Chrome、Safari、Operaによって保存されたパスワードをキャプチャし、クレデンシャル列挙モジュールに渡すパスワード回復ツールです。
  
  4.Mail PassViewは、Microsoft Outlook、Windows Mail、Mozilla Thunderbird、Hotmail、Yahoo! Mail、Gmailなどの様々な電子メールクライアントのパスワードとアカウント詳細を明らかにし、それらをクレデンシャル列挙モジュールに渡すパスワード回復ツールです。
  
  5.Credential enumeratorは、バイパスコンポーネントとサービスコンポーネントの2つのコンポーネントを含む自己解凍型RARファイルです。バイパスコンポーネントはネットワークリソースの列挙に使用され、Server Message Block（SMB）を使用して書き込み可能な共有ドライブを見つけるか、管理者アカウントを含むユーザーアカウントを総当たりで試行します。利用可能なシステムが見つかると、Emotetはシステム上のサービスコンポーネントを書き込み、サービスコンポーネントはEmotetをディスクに書き込みます。Emotet が SMB にアクセスすると、ドメイン全体 (サーバーとクライアント) に感染する可能性があります。
  
  なので
  Browser ： Google Chrome
  　　　　　Edge
  　　　　　Mozilla Firefox
  　　　　　Opera
  　　　　　等他
  に記憶させている Web サイト の パスワード が流出。
  
  メーラー ：Outlook
  　　　　　 Windows メール
  　　　　　 Mozilla Thunderbird
  　　　　　等他
  アカウント名、サーバー、サーバー タイプ (POP3/IMAP/SMTP)、ユーザー名、および パスワード が流出。
  
  ファイル共有 を行っている PC への感染拡大。
  
  　感染後に駆除すれば済むって事ではなく、流出した可能性が有る パスワード を使用する全ての サイト の パスワード を変更し不正アクセス等が無い事の確認が必要。
  ECサイト に クレジットカード （ クレカ ）情報を登録していた場合は、不正使用される可能性も！
  そして メール アドレス を持っていた関係者に連絡し対処を依頼する必要も有り。
  
  マルウェア に感染した場合、他の マルウェア も呼び込み複数の マルウェア に感染させられる事も有る。
  そう成ると システム の再構築 （OS を ベアメタル で再 インストール ）する羽目に、データー の クリーニング も必要に成でしょうから酷い目に・・・。
  

 

参考情報

• Emotetマルウェアからランサムウェアの被害に--IBMが日本企業に警鐘 （ ZDNET Japan ）

 

• 盛衰を繰り返すEmotet – 2023年の最新動向 （ ESET ）

 

• Emotet（エモテット）とは？感染後の症状や対策をわかりやすく （ ESET ）