調査日: 2023-06-19
Nukeと称されるランサムウェアによる侵害事案が確認されました。本件に関する調査結果および注意喚起を以下の通り報告いたします。
本ランサムウェアは「Nuke」と識別され、暗号化されたファイルに対し、個別のランダムな値が付与された拡張子を付与する挙動が確認されています。
ファイルバージョン情報
シャドウコピーの削除
ユーザーデータを暗号化した後、データの復旧を困難にする目的で、ボリュームシャドウコピー(VSS)を削除します。
<cmdを用いたシャドウコピー削除コマンドの実行>
スタートアップへのランサムノート登録
暗号化完了後、再起動後もユーザーが直ちに情報を確認できるよう、スタートアップ(実行)レジストリキーにランサムノートを登録します。
<ユーザーのRun(スタートアップ)へのnuke_html登録コマンド>
<実際にレジストリに生成された値>
デスクトップ壁紙の変更
ランサムウェア内部に格納された画像バイナリをRoamingディレクトリ内の「Nuclear55」フォルダに保存し、レジストリを改変してデスクトップ壁紙を変更します。元の壁紙はsystemフォルダに保存され、レジストリにバックアップされます。
<デスクトップ画像生成コマンド>
<ユーザーのRun(スタートアップ)へのnuke_html登録コマンド(※元の記述の重複を維持)>
<デスクトップ画像が実際に変更された値>
その他の追加情報
Nukeは.Netフレームワークで開発されていますが、市販されているLogicNP社の「Crypto Obfuscator For .Net」によって難読化(Obfuscated)された状態で確認されました。
<デスクトップ画像生成コマンド(※元の記述の重複を維持)>
感染結果
身代金要求ファイルは、それぞれ「!!_RECOVERY_instructions_!!.txt」および「!!_RECOVERY_instructions_!!.html」として指定されたパスに生成されます。暗号化処理が完了すると、ファイル名は「<元のファイル名.nuclear55>」に変更され、最終的にデスクトップ壁紙が変更されます。
<感染結果の確認>
本製品(ホワイトディフェンダー)は、ランサムウェアの悪性動作を検知・遮断する以前に、暗号化対象となるファイルに対してリアルタイムでの自動復元機能をサポートしています。
<遮断メッセージ>