strengbldgのblog

仕事で使っている木造住宅計算ソフトの操作法などの覚書

先週(2020年11月9日)のこと、届いたメールの処理しているときにとある団体の所属者からのメールに目が留まり不用意にも開きファイルを開けてしまった。

自戒のため概要記録

1.所属団体員からのメール。直接やり取りはないが件名が「Re:「○○」のお知らせ」とあり、そのオリジナルメールは見ていてまれにある事だったので警戒心が薄れていた(これが攻撃者の狙い

2.簡素な文にパスワードが書いてあった。「メール本文に添付ファイルのパスワードじゃ無意味だな」などと思ったものの別名保存しパスワード付zipを解凍 (ここで気づくべきだった。しかも、ノートンが検閲でファイルを削除していたのに…

3.件名からファイルの内容に興味があったので、ノートンが削除したファイルをわざわざ復元しそのファイルを開けた(この時もファイル名は単なる数字だし、拡張子も『docx』『docm』ではなく「doc」だったので疑うべきだった

4.ファイルを開いたときにマクロを有効にするか聞いてきた。何も考えずに「有効にする」を押してしまった。(これが一番ダメ

5.内容は期待したものはなかったので、ここで我に返って「引っかかった」と思った(時すでに遅し)
2020-11-09-1111



このあと、怪しいことに気づき
1.ネットワークの遮断
2.ノートンでスキャン

ネットで検索すると似た事例はあるよう
(この段階では「Emotet」と思った)
とにかく、
3.メールサーバーのパスワードの変更、念のため金融機関・ブログ等のパスワードを別のPCで変更
4.ノートンで完全スキャンを実行(パワーイレイサーも実行) →異常なし
5.EmoCheckによるEmotet感染有無の確認 →感染なし
スクリーンショット 2020-11-15 07.50.23

この間に感染した後の情報収集
「Emotet」の場合、感染直後に症状が出るわけではないらしいので油断できない

どうも自分が遭遇したものは「IcedID」だったらしい。
この場合、EmoCheckは「IcedID」検出には役に立たず、「IcedID」に感染したのかどうかがわからない。

ノートンがそれらの検出をしているのかどうか…
履歴を見ると、解凍後のdocファイルも削除、
スクリーンショット 2020-11-15 07.55.23
マクロ実行後のin.htmlは削除されいている
スクリーンショット 2020-11-15 07.51.14

しかし実際「IcedID」がダウンロードされて感染したのかどうかはわからず

ここで選択
1.未検出だから感染回避されている (それであればありがたい)
2.未検出だけど感染しているかもしれない
(ネットワーク上のPCも感染の可能性があるかどうかは不明)
さて、今回の事象はどちら…確かめるのはこのままPCを使い続けてみるしかないが…

個人の意見・感想です

OSが立ち上がらないPCの環境を復元する作業の覚書(win10)

Thunderbirdのアカウントや送受信メールなどの復元(復元先は68.8、復元元は少し前のバージョンだと思う)
C:\Users\○○\AppData\Roaming\Thunderbird\Profiles
内の〇〇.default を移動
移行先の □□.default と ××.default-release はそのままにしておく

C:\Users\○○\AppData\Roaming\Thunderbird
内にある profiles.ini を開いて
StartWithLastProfile=1 となっているところを StartWithLastProfile= にする
(ユーザープロファイルの選択画面が最初に出てくる)

2020-05-16 (5)
保存後、Thunderbirdを立ち上げるとユーザープロファイルの選択画面が出てくる
2020-05-17 (6)

[新しいプロファイルを作成]→[次へ]→[フォルダの選択]に進み 〇〇.default を選ぶ
2020-05-17 (7)

2020-05-17 (8)


[Thunderbirdを起動]で起動させて様子を見る([今後このプロファイルを使用する]にチェックを入れておけば再度聞いてはこない)

起動直後はアドオンが「互換性が無い」とメッセージが出てきたので、一つ一つ更新確認して有効にした

再度、5回以上起動を繰り返したけど、今のところは正常に起動する

参考
続きを読む

OSが立ち上がらないPCの環境を復元する作業の覚書(win10)
firefox・Chromeのブックマーク・開いていたページ等の復元

firefox(バージョン76.0.1)
C:\Users\○○\AppData\Local\Mozilla\Firefox\Profiles
にあるデータ全てをコピー

Chrome(バージョン81.0)
C:\Users\○○\AppData\Local\Google\Chrome\User Data
にあるデータ全てをコピー


参考

↑このページのトップヘ