[ Nnice 랜섬웨어 ]

[ 바이러스/악성코드 활동 접수: Nnice 랜섬웨어 ]

Nnice 랜섬웨어 형태로 추정되는 침해사고 발생하여
이에 해당 상황에 대한 확인 및 주의보를 다음과 같이 전달 드립니다.

Nnice 랜섬웨어

해당 랜섬웨어는 Nnice라고 하며 파일명.확장자.xdddd 모든 파일을 변경하고 있는 모습을 보이고 있습니다.

작동 방식

파일 버전

[그림1 랜섬웨어 실행 파일 컴파일러 정보 ]

[그림2 윈도우 속성의 파일 정보]

랜섬웨어 동작 특징

• Nnice 랜섬웨어는 C# 기반 .NET 플랫폼으로 개발된 악성코드로, 감염 시 사용자 시스템의 복구 기능을 무력화하는 특징을 보입니다. 암호화가 완료되면 시스템의 볼륨 섀도우 복사본(Volume Shadow Copy)과 Windows 백업 카탈로그를 삭제하며, 동시에 시스템 복원 기능 및 오류 발생 시 출력되는 경고 알림을 비활성화하여 사용자의 대응 가능성을 크게 제한합니다.

  암호화가 완료된 이후에는 자체 실행 파일을 %LocalAppData% 경로에 discord.exe라는 이름으로 복사한 뒤, 시작 프로그램 레지스트리(HKCUSoftwareMicrosoftWindowsCurrentVersionRun) 에 등록하여 시스템 재부팅 이후에도 랜섬웨어가 지속적으로 실행될 수 있도록 구성합니다.

  또한 디컴파일을 통해 확인한 결과, 해당 랜섬웨어는 기능 제어 로직 내에서 특정 기능의 활성화 여부를 결정하는 분기문(conditional logic) 또는 함수명이 스페인어로 표기되어 있는 점이 확인되었습니다. 이는 공격자가 스페인어권 개발 환경 또는 빌더를 기반으로 제작했을 가능성을 시사하며, 제작자의 지역적 배경 혹은 언어 기반 빌더 툴 사용 정황으로 분석되었습니다.
  
  

  
  [그림3 사용자 데이터가 어려워 지도록 특정 cmd 명령 사용 ]

  
  [그림4 내부 if 분기 명령 si(스페인어) ]

감염결과

안내 파일은 암호화 완료 후 README.txt 라는 이름으로 생성이며되 암호화가 진행된 각각의 파일들은 < 파일명.확장자.xdddd >으로 변경됩니다.

[그림5 감염결과]

화이트디펜더 대응

화이트디펜더 랜섬웨어의 악성 행위 및 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

[그림6 차단 메시지]

Nnice 차단 영상 보러 가기