調査日: 2025-06-27
Nniceランサムウェアと推定される侵害事象が確認されました。つきましては、当該事象に関する確認結果と、組織における対策の必要性について、以下の通り報告いたします。
本ランサムウェアは「Nnice」と呼称されており、感染後、対象ファイルの拡張子を「.xdddd」に変更する特徴を有しています。
実行ファイルの情報
ランサムウェアの動作特徴
NniceランサムウェアはC#ベースの.NETプラットフォームで開発されたマルウェアであり、感染時にユーザーシステムの回復機能を無力化する特徴を持ちます。暗号化完了後、システムのボリュームシャドウコピー(Volume Shadow Copy)およびWindowsバックアップカタログを削除します。さらに、システム復元機能やエラー発生時の警告通知を無効化し、被害者の対応可能性を大幅に制限します。
暗号化完了後、自己実行ファイルを「%LocalAppData%」ディレクトリ内に「discord.exe」という名称でコピーし、スタートアップレジストリ(HKCUSoftwareMicrosoftWindowsCurrentVersionRun)に登録することで、システム再起動後もランサムウェアが持続的に実行されるよう設定されます。
ディコンパイルにより確認された機能制御ロジック内において、特定の機能の有効/無効を決定する分岐条件(conditional logic)や関数名にスペイン語が使用されていることが確認されました。これは、攻撃者がスペイン語圏の開発環境またはビルダーを基に本マルウェアを制作した可能性を示唆しており、攻撃者の地理的背景、あるいは言語ベースのビルドツール利用の痕跡と分析されます。
<ユーザーデータの破壊を目的とした特定のコマンド実行>
<内部IF分岐コマンドにおけるスペイン語(si)の確認>
感染結果
暗号化完了後、身代金要求ファイルは「README.txt」という名称で生成されます。暗号化された各ファイルは「<ファイル名.拡張子.xdddd>」へと拡張子が変更されます。
<感染結果の例>
本ランサムウェアの活動や、それに類似する脅威に対する防御策として、以下の対策を推奨いたします。
(※元のレポートに含まれる特定の製品による自動復元機能に関する記述は、一般的な推奨事項として再構成します。)
セキュリティ製品によるリアルタイムでのファイル変更監視および、暗号化処理が開始される前の状態への自動復元機能の導入は、被害の局所化に有効です。
<脅威のブロックメッセージ例>