Manuel Statik Analiz — RagnarLocker | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Boyut | 58.880 byte (58KB — anormalman küçük ransomware!) |
| String Sayisi | 299 |
Geliştirici Parmak İzi
C:\Users\alfons\Desktop\javaw.exe APPDATA=C:\Users\alfons\AppData\Roaming -- Kullanıcı adı: "alfons" (İskandinav erkek adı) -- PDB yolu: "javaw.exe" — Java VM yürütücüsü taklidi! -- APPDATA ortam değişkeni geliştirici makinesini ifşa ediyor -- Java runtime kılığı: IT departmanı whitelist'te
Şifreleme
CryptEncrypt -- Windows CAPI şifreleme fonksiyonu GetVersionExW -- Hedef işletim sistemi tespiti
IOC
| SHA256 | f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Geliştirici | alfons (İskandinav adı) |
| Kamuflaj | javaw.exe (Java VM taklidi) |
RagnarLocker — Malware Profile
Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.
Malware Type
Ransomware
Programming Language
C
C2 Protocol
—
Target Systems
Windows
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (2 indicators)
IOC — RagnarLocker
# SHA256
f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
# FILEPATH
C:\Users\alfons\Desktop\javaw.exe
| Type | Value | Note |
|---|---|---|
| sha256 | f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | 63-char hash |
| filepath | C:\Users\alfons\Desktop\javaw.exe | PDB gelistirici yolu |