Windows11であやうくEmotetに感染しそうになった話

最近、猛威をふるっているEmotetですが、危うく感染しそうになった人がいて、その顛末です。

幸運だったこと
・Windows Defenderが、Emotetウイルスの入ったEXCELを検知してくれた

不運だったこと
・Windows Defenderが正常に機能しなかった

たぶん、「不運だったこと」がなければ、私の登場はなかったでしょう。(笑)

連絡を受けてから真っ先におなったのがEmotet感染チェックツールでの確認です。
https://github.com/JPCERTCC/EmoCheck/releases

「検知されませんでした」というこうとで、セーフでした。

emotet_01.jpg

その人曰く、知人からの全く自然なメールだったので、メール添付のEXCELを開いたとのこと。(開いてはいけません!
どうやらその時、Windows Defenderが反応してマクロ付きのEXCELファイルを開けなかったようなのですが、その方、どうしても開きたかったらしく(開いてはいけません!)、メールに添付されていたファイルを、デスクトップに「名前をつけて保存」で保存しました。
その時も、Windows Defenderが反応してくれたようなのですが、そのファイルがゾンビのようにデスクトップに残ったままで、どうにも削除ができなかったため、私へのSOSの連絡となった模様です。
ですので、私が見たときは、デスクトップ上に、xlsmという拡張子の怪しげなファイルが存在している状態でした。

そのファイルをクリックするとWindows Defenderが反応するのですが、「このwindowsdefenderリンクを開くには新しいアプリが必要です」というメッセージが表示され、Defenderを開くことができません。
設定→プライバシーとセキュリティ→Windowsセキュリティから開こうとしても同じ現象になります。

emotet_02.png

この現象はWindows11での「あるある」らしく、Get-AppxPackageコマンドを実行すると直ります。
ソース:Windows Security will not open in Windows 11 Beta build 22000.132

以下、その手順です。

1.スタートボタンを右クリック→検索→powershell で検索し、「管理者として実行する」をクリック。

emotet_03.png

2.PowerShellの画面内で以下を入力し、Exnterキーを押す。
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage

emotet_04.jpg

これでDefenderが開くようになります。

その後は、検知されたファイルに対して「削除」を指定して「操作の開始」をクリックします。
これを、検出されたすべてのファイルに対して行います。

emotet_05.jpg

全件を削除したら、デスクトップ上のEXCELファイルは消えました。

なお、念の為、全スキャンをしておきましょう。

今回は、DefenderがEmotetを検知してくれたことが、本当に幸いでした。

ぐっどらっこ。