Manuel Statik Analiz — RagnarLocker Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| 大小 | 817.764 byte |
| String Sayisi | 4.186 |
.adobe PE Bölümü -- Ragnar Locker İmzası
.adobe -- RagnarLocker karakteristik PE bölüm adı! -- RagnarLocker'ın tanınmış binary imzası
CAPI Şifreleme
CryptEncrypt -- Windows CAPI dosya şifreleme GetFileSizeEx -- Şifrelenecek dosya boyutu sorgusu
RagnarLocker Hakkında
RagnarLocker, 2019'dan beri aktif olan C++ tabanlı ransomware ailesidir. VMware ESXi sanal makinalarını hedefleyen özel bir varyantı mevcuttur. .adobe gibi tanımlayıcı PE bölüm adları ile bilinir. İtalya polis operasyonunda (Ekim 2023) sunucuları ele geçirilmiştir.
IOC
| SHA256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |
|---|---|
| PE Bölümü | .adobe (RagnarLocker imzası) |
RagnarLocker — 恶意软件档案
Ragnar Locker is a ransomware group active 2019-2023, dismantled by Europol. PE32 GUI x86 binary with RAGNAR SECRET string confirmed. CryptAcquireContextW+CryptEncrypt for file encryption. GetDriveTypeW+FindFirstFileW/FindNextFileW for drive and file enumeration. OpenProcessToken+DuplicateTokenEx for privilege escalation to SYSTEM. Targets corporate networks across 12+ countries.
恶意软件类型
Ransomware
编程语言
C
C2协议
—
目标系统
Windows
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — RagnarLocker
# SHA256
041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 041fd213326dd5c10a16caf88ff076bb98c68c05228443a3e7f5c2b9d4e1a8f6 |