Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA256041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
크기817.764 byte
String Sayisi4.186

.adobe PE Bölümü -- Ragnar Locker İmzası

.adobe  -- RagnarLocker karakteristik PE bölüm adı!
-- RagnarLocker'ın tanınmış binary imzası

CAPI Şifreleme

CryptEncrypt   -- Windows CAPI dosya şifreleme
GetFileSizeEx  -- Şifrelenecek dosya boyutu sorgusu

RagnarLocker Hakkında

RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.

IOC

SHA256041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
PE Bölümü.adobe (RagnarLocker imzası)

RagnarLocker — 악성코드 프로필

Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — RagnarLocker
# SHA256 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
유형메모
sha256 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
태그
ragnar-lockerransomwareadobe-pe-sectioncrypt-encryptesxi