Manuel Statik Analiz — RagnarLocker | Tehdit: YUKSEK

Dosya Kimliği

SHA256f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut58.880 byte (58KB — anormalman küçük ransomware!)
String Sayisi299

Geliştirici Parmak İzi

C:\Users\alfons\Desktop\javaw.exe
APPDATA=C:\Users\alfons\AppData\Roaming
-- Kullanıcı adı: "alfons" (İskandinav erkek adı)
-- PDB yolu: "javaw.exe" — Java VM yürütücüsü taklidi!
-- APPDATA ortam değişkeni geliştirici makinesini ifşa ediyor
-- Java runtime kılığı: IT departmanı whitelist'te

Şifreleme

CryptEncrypt  -- Windows CAPI şifreleme fonksiyonu
GetVersionExW -- Hedef işletim sistemi tespiti

IOC

SHA256f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Geliştiricialfons (İskandinav adı)
Kamuflajjavaw.exe (Java VM taklidi)

RagnarLocker — Malware Profile

Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Target Systems
Windows

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (2 indicators)

IOC — RagnarLocker
# SHA256 f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 # FILEPATH C:\Users\alfons\Desktop\javaw.exe
TypeValueNote
sha256 f4d742d82698f53258880b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 63-char hash
filepath C:\Users\alfons\Desktop\javaw.exe PDB gelistirici yolu
Tags
ragnarlockeralfons-developerjavaw-exe-disguisejava-virtual-machine58kb-tinycryptencrypt