Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| 크기 | 817.764 byte |
| String Sayisi | 4.186 |
.adobe PE Bölümü -- Ragnar Locker İmzası
.adobe -- RagnarLocker karakteristik PE bölüm adı! -- RagnarLocker'ın tanınmış binary imzası
CAPI Şifreleme
CryptEncrypt -- Windows CAPI dosya şifreleme GetFileSizeEx -- Şifrelenecek dosya boyutu sorgusu
RagnarLocker Hakkında
RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.
IOC
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| PE Bölümü | .adobe (RagnarLocker imzası) |
RagnarLocker — 악성코드 프로필
Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.
악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
—
대상 시스템
Windows
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — RagnarLocker
# SHA256
041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |