Categories: 脅威リサーチ

Nibiru ランサムウェア亜種のデクリプタ

脆弱な暗号化

ランサムウェア Nibiru は、.NET ベースのマルウェアファミリです。ローカルディスクのディレクトリをスキャンして、Rijndael-256 でファイルを暗号化します。暗号化されたファイルには、拡張子 .Nibiru が付けられます。Rijndael-256 はセキュアな暗号化アルゴリズムです。しかし、Nibiru はハードコードされた文字列「Nibiru」を使って、32 バイトのキー値と 16 バイトの IV 値を計算します。デクリプタはこの弱点を利用し、暗号化されたファイルを復号します。

ランサムウェア

Nibiru は、ランサムウェアとしては出来の悪いものです。ディレクトリをスキャンして、Rijndael-256 でファイルを暗号化します。暗号化されたファイルには、拡張子 .Nibiru が付けられます。Nibiru は、多くの一般的なファイル拡張子をターゲットにします。ただし、「Program Files」、「Windows」、「System Volume Information」などの重要なディレクトリは対象外です。

ターゲットとなる拡張子:

.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.jpeg、.png、.psd、.txt、.zip、.rar、.html、.php、.asp、.aspx、.mp4、
.avi、.3gp、.wmv、.MOV、.mp3、.wav、.flac、.wma、.mov、.raw、.apk、.encrypt、.crypted、.ahok、.cs、.vb

コンパイル

Talos は、Visual Studio Community 2019 v16.7.6(Windows 10、.NET Framework v4.8.03752)で、Nibiru ランサムウェア亜種のデクリプタをテストしました。コンパイルにパッケージの追加は必要ありません。

Talos GitHub からこのデクリプタをダウンロードできます。

ハッシュの例:

e0a681902f4f331582670e535a7d1eb3d6eff18d3fbed3ffd2433f898219576f

 

本稿は 2020 年 11 月 17 日に Talos Group のブログに投稿された「Nibiru ransomware variant decryptor」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。