脆弱な暗号化
ランサムウェア Nibiru は、.NET ベースのマルウェアファミリです。ローカルディスクのディレクトリをスキャンして、Rijndael-256 でファイルを暗号化します。暗号化されたファイルには、拡張子 .Nibiru が付けられます。Rijndael-256 はセキュアな暗号化アルゴリズムです。しかし、Nibiru はハードコードされた文字列「Nibiru」を使って、32 バイトのキー値と 16 バイトの IV 値を計算します。デクリプタはこの弱点を利用し、暗号化されたファイルを復号します。
ランサムウェア
Nibiru は、ランサムウェアとしては出来の悪いものです。ディレクトリをスキャンして、Rijndael-256 でファイルを暗号化します。暗号化されたファイルには、拡張子 .Nibiru が付けられます。Nibiru は、多くの一般的なファイル拡張子をターゲットにします。ただし、「Program Files」、「Windows」、「System Volume Information」などの重要なディレクトリは対象外です。
ターゲットとなる拡張子:
.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.jpeg、.png、.psd、.txt、.zip、.rar、.html、.php、.asp、.aspx、.mp4、
.avi、.3gp、.wmv、.MOV、.mp3、.wav、.flac、.wma、.mov、.raw、.apk、.encrypt、.crypted、.ahok、.cs、.vb
コンパイル
Talos は、Visual Studio Community 2019 v16.7.6(Windows 10、.NET Framework v4.8.03752)で、Nibiru ランサムウェア亜種のデクリプタをテストしました。コンパイルにパッケージの追加は必要ありません。
Talos GitHub からこのデクリプタをダウンロード
できます。
ハッシュの例:
e0a681902f4f331582670e535a7d1eb3d6eff18d3fbed3ffd2433f898219576f
本稿は 2020 年 11 月 17 日に Talos Group
Authors