最近、猛威をふるっているEmotetですが、危うく感染しそうになった人がいて、その顛末です。
幸運だったこと
・Windows Defenderが、Emotetウイルスの入ったEXCELを検知してくれた
不運だったこと
・Windows Defenderが正常に機能しなかった
たぶん、「不運だったこと」がなければ、私の登場はなかったでしょう。(笑)
連絡を受けてから真っ先に行ったのがネットワークからの切り離しと Emotet感染チェックツール での確認です。
https://github.com/JPCERTCC/EmoCheck/releases
「検知されませんでした」というこうとで、セーフでした。
その人曰く、知人からの全く自然なメールだったので、メール添付のEXCELを開いたとのこと。(開いてはいけません!)
どうやらその時、Windows Defenderが反応してマクロ付きのEXCELファイルを開けなかったようなのですが、その方、どうしても開きたかったらしく(開いてはいけません!)、メールに添付されていたファイルを、デスクトップに「名前をつけて保存」で保存しました。
その時も、Windows Defenderが反応してくれたようなのですが、そのファイルがゾンビのようにデスクトップに残ったままで、どうにも削除ができなかったため、私へのSOSの連絡となった模様です。
ですので、私が見たときは、デスクトップ上に、xlsmという拡張子の怪しげなファイルが存在している状態でした。
そのファイルをクリックするとWindows Defenderが反応するのですが、「このwindowsdefenderリンクを開くには新しいアプリが必要です」というメッセージが表示され、Defenderを開くことができません。
設定→プライバシーとセキュリティ→Windowsセキュリティから開こうとしても同じ現象になります。
この現象はWindows11での「あるある」らしく、Get-AppxPackageコマンドを実行すると直ります。
ソース:Windows Security will not open in Windows 11 Beta build 22000.132
以下、その手順です。
1.スタートボタンを右クリック→検索→powershell で検索し、「管理者として実行する」をクリック。
2.PowerShellの画面内で以下を入力し、Exnterキーを押す。
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
これでDefenderが開くようになります。
その後は、検知されたファイルに対して「削除」を指定して「操作の開始」をクリックします。
これを、検出されたすべてのファイルに対して行います。
全件を削除したら、デスクトップ上のEXCELファイルは消えました。
なお、念の為、全スキャンをしておきましょう。
今回は、DefenderがEmotetを検知してくれたことが、本当に幸いでした。
ぐっどらっこ。