Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| Boyut | 817.764 byte |
| String Sayisi | 4.186 |
.adobe PE Bölümü -- Ragnar Locker İmzası
.adobe -- RagnarLocker karakteristik PE bölüm adı! -- RagnarLocker'ın tanınmış binary imzası
CAPI Şifreleme
CryptEncrypt -- Windows CAPI dosya şifreleme GetFileSizeEx -- Şifrelenecek dosya boyutu sorgusu
RagnarLocker Hakkında
RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.
IOC
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| PE Bölümü | .adobe (RagnarLocker imzası) |
RagnarLocker — Malware Profile
Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
—
Target Systems
Windows
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — RagnarLocker
# SHA256
041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
| Type | Value | Note |
|---|---|---|
| sha256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |