調査日: 2024-07-17
Nitroランサムウェアと推定される侵害事象が確認されたため、当該状況に関する確認結果と注意喚起を以下の通り報告いたします。
本マルウェアは「Nitro」と称されており、感染したファイルの拡張子を「.givemenitro」に変更する挙動が確認されています。
ファイル情報
ランサムウェアの動作特徴
本ランサムウェアはC#/.NETベースで開発されており、プロセス名を確認することで重複実行を防止しています。暗号化処理の前に、実行ファイルをTempディレクトリにコピーし、スタートアップ(開始プログラム)に登録することで、暗号化が完了しなかった場合にWindows起動時に再実行されるように永続性を確保しようとします。また、PCのUserName、ComputerName、IPアドレス、およびWMICを利用して取得したUUIDを組み合わせ、収集したユーザー情報をWebhook経由で攻撃者サーバーへ送信します。攻撃対象はデスクトップ、マイドキュメント、マイピクチャの各ディレクトリに限定されている模様です。
<暗号化実行前にTempディレクトリへコピーされ、スタートアップに登録されたランサムウェア実行ファイル>
<コマンドプロンプト(cmd)経由で実行される複数のコマンド>
侵害結果
身代金要求ファイルは暗号化完了後に自動的に出力されます。暗号化された各ファイルは「<元のファイル名.拡張子.givemenitro>」へと名称変更されます。
<感染結果(ファイル名の変更と身代金要求ファイルの生成)>
本レポートで言及されている「ホワイトディフェンダー」製品は、Nitroランサムウェアの悪性動作を検知・遮断するだけでなく、暗号化処理が進行する前に影響を受ける可能性のあるファイルに対してリアルタイムでの自動復元機能をサポートしています。
<遮断メッセージ>