RagnarLocker

Ragnar Locker — группа вымогателей, действовавшая в 2019–2023 годах и ликвидированная Европолом. Двоичный файл PE32 GUI x86 с подтвержденной строкой RAGNAR SECRET. CryptAcquireContextW+CryptEncrypt для шифрования файлов. GetDriveTypeW+FindFirstFileW/FindNextFileW для перечисления дисков и файлов. OpenProcessToken+DuplateTokenEx для повышения привилегий до системы. Ориентирован на корпоративные сети в более чем 12 странах.

Профиль угрозы
Тип Ransomware
Язык программированияC
C2 Протокол
Первое обнаружение2020
Цели Windows
Назначение / Возможности
  • Корпоративное шифрование
  • включая VMware ESXi
Для этого семейства пока не обнаружено C2-серверов.

Исследовательские отчёты (3)

Критический

RagnarLockerRansomware 041fd213 -- RAGNAR SECRET Confirmed CryptEncrypt File Encryption GetDriveTypeW Drive Enumeration OpenProcessToken DuplicateTokenEx Privilege Escalation | Kritik

RagnarLocker 041fd213 PE32 GUI x86 818KB entropy 7.97. RAGNAR SECRET string onay. CryptEncrypt dosya sifreleme. GetDriveTypeW drive enumeration. OpenProcessToken DuplicateTokenEx privilege escalation.

Читать отчёт →
Высокий

RagnarLocker -- alfons Developer, javaw.exe Java Taklidi PDB 58KB Ultra Küçük | Yüksek

RagnarLocker 58KB. C:\Users\alfons\Desktop\javaw.exe PDB. APPDATA alfons gelistirici parmak izi. CryptEncrypt.

Читать отчёт →
Критический

RagnarLocker -- 817KB, .adobe PE Section Imzasi, CryptEncrypt CAPI | Kritik

RagnarLocker 817KB. .adobe PE section imzası. CryptEncrypt CAPI. Teknik VMware ESXi.

Читать отчёт →