調査日: 2025-09-10
Nqixランサムウェアと推定される侵害事象が確認されたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本ランサムウェアは「Nqix」と呼称されており、感染したファイルのファイル名が「ファイル名.id-8桁固有ID.[support@qbmail.biz].nqix」の形式に変更される挙動が確認されています。
ファイル情報
ランサムウェアの動作特徴
NqixランサムウェアはC++で開発されたマルウェアであり、Dharmaランサムウェアの亜種として特定されました。実行ファイルは自己難読化処理が施されており、静的解析による内部コードの分析は困難な状態です。感染が進行すると、暗号化直後にsystem32ディレクトリ内に身代金要求ファイル(meshta.exeとして観測)を実行します。また、%AppData%Roamingディレクトリへランサムウェア本体と身代金要求ファイル(info.hta)をコピーします。その後、これらのファイルをWindowsのスタートアップレジストリに登録することで、システム再起動後も持続的な動作を繰り返すように設定します。
<実行ファイルおよびノートファイルのコピーとスタートアップレジストリへの登録>
侵害結果
身代金要求ファイルは暗号化完了後にsystem32フォルダ内にmshta.exeとして生成されます。暗号化された各ファイルは、「<ファイル名.拡張子.id-8桁固有ID.[support@qbmail.biz].nqix>」の形式に変更されます。
<侵害結果>
本セクションでは、侵害の初期段階から暗号化完了に至るまでの具体的な動作フローを記述します。
(※元のレポートには詳細な動作フローの記述が不足しているため、確認された持続性メカニズムをここに集約します。)
暗号化されたファイルには、前述の通り固有の拡張子が追加されます。身代金要求の通知は、system32内にmshta.exeとして配置されることで通知されます。
本マルウェアの亜種であるDharma系統の挙動を踏まえ、以下の対策を強く推奨いたします。
バックアップの徹底: 重要なデータはオフラインまたはイミュータブルなストレージに定期的にバックアップし、ランサムウェアによる暗号化の影響を受けないように隔離してください。
脆弱性管理とパッチ適用: 既知の脆弱性、特にリモートデスクトッププロトコル(RDP)やVPN機器に対するパッチを迅速に適用してください。
多要素認証(MFA)の導入: 外部接続サービスおよび内部システムへのアクセスにMFAを必須とし、認証情報の窃取による侵入を困難にしてください。
エンドポイントセキュリティの強化: 挙動検知機能を持つEDR/EPPソリューションを導入し、難読化された実行ファイルや不審なレジストリ操作をリアルタイムで検知・遮断してください。
セキュリティ製品(例:WhiteDefender)は、ランサムウェアの悪性動作や暗号化処理の前にファイルの自動復元機能を提供し、被害を最小限に抑えることが可能です。
<検知・遮断メッセージの例>