[Nniceランサムウェア]

[ ウイルス/マルウェアの活動受付: Nnice ランサムウェア ]

Nniceランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Nniceランサムウェア

このランサムウェアはNniceと呼ばれ、ファイル名.拡張子.xddddすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• Nnice ランサムウェアは C# ベースの .NET プラットフォームとして開発されたマルウェアであり、感染時にユーザーシステムの回復機能を無効にする特徴を見せます。暗号化が完了すると、システムのボリュームシャドウコピー（Volume Shadow Copy）とWindowsバックアップカタログを削除し、同時にシステム復元機能やエラー発生時に出力される警告通知を無効にして、ユーザーの対応を大幅に制限します。

  暗号化が完了したら、独自の実行可能ファイルを％LocalAppData％パスにdiscord.exeという名前でコピーし、スタートアッププログラムレジストリ（HKCUSoftwareMicrosoftWindowsCurrentVersionRun）に登録し、システムの再起動後もランサムウェアを継続的に実行できるように構成します。

  また、デコンパイルで確認した結果、該当ランサムウェアは、機能制御ロジック内で特定の機能が有効かどうかを決定する分岐文(conditional logic)または関数名がスペイン語で表記されていることが確認されました。これは、攻撃者がスペイン語圏の開発環境やビルダーに基づいて作成した可能性を示唆しており、作成者の地域的背景または言語ベースのビルダーツールの使用状況として分析されました。
  
  

  
  [図3 ユーザーデータが難しくなるように特定のcmdコマンドを使用]

  
  [図4 内部if分岐命令si(スペイン語)]

感染結果

ガイダンスファイルは暗号化完了後にREADME.txtという名前で生成され、暗号化が進行された各ファイルは<ファイル名.拡張子.xdddd>に変更されます。

[図5感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図6ブロックメッセージ]

Nniceブロックビデオを見に行く