Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK
Datei Kimliği
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| Größe | 817.764 byte |
| String Sayisi | 4.186 |
.adobe PE Bölümü -- Ragnar Locker İmzası
.adobe -- RagnarLocker karakteristik PE bölüm adı! -- RagnarLocker'ın tanınmış binary imzası
CAPI Şifreleme
CryptEncrypt -- Windows CAPI dosya şifreleme GetFileSizeEx -- Şifrelenecek dosya boyutu sorgusu
RagnarLocker Hakkında
RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.
IOC
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| PE Bölümü | .adobe (RagnarLocker imzası) |
RagnarLocker — Malware-Profil
Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.
Malware-Typ
Ransomware
Programmiersprache
C
C2-Protokoll
—
Zielsysteme
Windows
Fähigkeiten & Verhalten
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC-Liste (1 Indikatoren)
IOC — RagnarLocker
# SHA256
041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |