RagnarLocker

Ragnar Locker ist eine zwischen 2019 und 2023 aktive Ransomware-Gruppe, die von Europol zerschlagen wurde. PE32 GUI x86-Binärdatei mit RAGNAR SECRET-Zeichenfolge bestätigt. CryptAcquireContextW+CryptEncrypt für die Dateiverschlüsselung. GetDriveTypeW+FindFirstFileW/FindNextFileW für Laufwerks- und Dateiaufzählung. OpenProcessToken+DuplicateTokenEx für die Rechteausweitung auf SYSTEM. Zielgruppe sind Unternehmensnetzwerke in über 12 Ländern.

Bedrohungsprofil
Typ Ransomware
ProgrammierspracheC
C2-Protokoll
Erstmals gesehen2020
Ziele Windows
Zweck / Fähigkeiten
  • Unternehmensverschlüsselung einschließlich VMware ESXi
Für diese Familie wurden noch keine C2-Server identifiziert.

Forschungsberichte (3)

Kritisch

RagnarLockerRansomware 041fd213 -- RAGNAR SECRET Confirmed CryptEncrypt File Encryption GetDriveTypeW Drive Enumeration OpenProcessToken DuplicateTokenEx Privilege Escalation | Kritik

RagnarLocker 041fd213 PE32 GUI x86 818KB entropy 7.97. RAGNAR SECRET string onay. CryptEncrypt dosya sifreleme. GetDriveTypeW drive enumeration. OpenProcessToken DuplicateTokenEx privilege escalation.

Bericht lesen →
Hoch

RagnarLocker -- alfons Developer, javaw.exe Java Taklidi PDB 58KB Ultra Küçük | Yüksek

RagnarLocker 58KB. C:\Users\alfons\Desktop\javaw.exe PDB. APPDATA alfons gelistirici parmak izi. CryptEncrypt.

Bericht lesen →
Kritisch

RagnarLocker -- 817KB, .adobe PE Section Imzasi, CryptEncrypt CAPI | Kritik

RagnarLocker 817KB. .adobe PE section imzası. CryptEncrypt CAPI. Teknik VMware ESXi.

Bericht lesen →