Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK

Dosya Kimliği

SHA256041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
Boyut817.764 byte
String Sayisi4.186

.adobe PE Bölümü -- Ragnar Locker İmzası

.adobe  -- RagnarLocker karakteristik PE bölüm adı!
-- RagnarLocker'ın tanınmış binary imzası

CAPI Şifreleme

CryptEncrypt   -- Windows CAPI dosya şifreleme
GetFileSizeEx  -- Şifrelenecek dosya boyutu sorgusu

RagnarLocker Hakkında

RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.

IOC

SHA256041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
PE Bölümü.adobe (RagnarLocker imzası)

RagnarLocker — Malware Profile

Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Target Systems
Windows

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (1 indicators)

IOC — RagnarLocker
# SHA256 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
TypeValueNote
sha256 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
Tags
ragnar-lockerransomwareadobe-pe-sectioncrypt-encryptesxi