{
	"id": "cce44cf1-0a78-4496-af69-2df5fd21129f",
	"created_at": "2026-04-06T00:11:41.510819Z",
	"updated_at": "2026-04-10T03:21:24.20137Z",
	"deleted_at": null,
	"sha1_hash": "aafdc22e668a7d3469566d64f284286ff271fb97",
	"title": "RagnarLocker",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 778733,
	"plain_text": "RagnarLocker\r\nArchived: 2026-04-05 17:54:03 UTC\r\nRagnarLocker Ransomware\r\nRagnarLocker 2.0 Ransomware\r\nRagnarLocker Doxware\r\nRagnarLocker DDoS-attack-Ransomware\r\nRagnarLocker NextGen Ransomware\r\n(шифровальщик-вымогатель, публикатор) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные крупных компаний и бизнес-пользователей с помощью AES +\r\nRSA-2048, а затем требует выкуп в ~20-60 BTC, чтобы вернуть файлы. Оригинальное название:\r\nRagnarLocker или Ragnar_Locker. На файле написано: VSERV.EXE или что-то еще.\r\nВымогатели, распространяющие RagnarLocker, могут публиковать украденные данные с целью усиления\r\nдавления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели\r\nначинают кражу данных ещё перед шифрованием файлов с помощью программных средств (doxware).\r\nГруппа Ragnar Locker предпочитает сотрудничать с внешними пен-тестерами для взлома сетей по всему\r\nмиру. Кроме того, используют DDoS-атаки, чтобы заставить жертву связаться с ними и договориться о\r\nвыкупе. \r\nИзвестно, что на начальном этапе распространения этого Ransomware и проведения атак группа\r\nзлоумышленников базировалась в Украине и оттуда уже растеклась по странам Европы и Северной\r\nАмерики. Члены банды действуют из Чехии, Швеции, Германии, Франции, Нидерландов. Сервера\r\nприкрытия расположены в Нидерландах, Германии и Швеции. \r\n---\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.31062, Trojan.MulDrop11.37871, Trojan.Encoder.31231, Trojan.Encoder.31566,\r\nTrojan.Encoder.32719, Trojan.Encoder.32986\r\nBitDefender -\u003e Gen:Heur.Ransom.Imps.1, Generic.Ransom.Ragnar.7430B5C0\r\nAvira (no cloud) -\u003e TR/AD.RansomHeur.gkqib\r\nESET-NOD32 -\u003e A Variant Of Win32/Filecoder.OAH, A Variant Of Win32/Filecoder.RagnarLocker.A\r\nMalwarebytes -\u003e Ransom.Ragnar\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 1 of 19\n\nMcAfee -\u003e Ransom-Ragnar, Ransomware-GWY!3CA359F5085B\r\nRising -\u003e Ransom.Agent!8.6B7 (CLOUD)\r\nTrendMicro -\u003e Ransom.Win32.RAGNAR.THBAABOA,\r\nRansom_Ragnar.R002C0DCA20, Ransom_Ragnar.R002C0DDS20\r\n---\r\n© Генеалогия: выясняется, явное родство с кем-то не доказано.\r\nИзображение — логотип статьи\r\nК зашифрованным файлам добавляется расширение по шаблону: \r\n.ragnar_XXXXXXXX\r\n.ragnar_\u003cID{8}\u003e\r\nПод ID здесь находится хэш NetBIOS-имени компьютера. \r\nПримеры таких расширений: \r\n.ragnar_44027CDE\r\n.ragnar_46d54535 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце\r\nстатьи, в обновлениях. Там могут быть различия с первоначальным вариантом. \r\nАктивность этого крипто-вымогателя пришлась на конец января - начало февраля 2020 г. Дата создания: 31\r\nянваря 2020. Возможно, еще был более ранний вариант из декабря 2019 года. Ориентирован на\r\nанглоязычных пользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа называется по шаблону: \r\nRGNR_XXXXXXXX.txt\r\nRGNR_\u003cID\u003e.txt\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 2 of 19\n\nПример записок о выкупе: \r\nRGNR_44027CDE.txt\r\nRGNR_46d54535.txt\r\nСодержание записки о выкупе:\r\n                                              Hello COMPANY !\r\n************************************************************************************\r\n If you reading this message, then your network was PENETRATED and all of your files and data has been\r\nENCRYPTED\r\n                                              by RAGNAR_LOCKER !\r\n************************************************************************************\r\n*********What happens with your system ?************\r\nYour network was penetrated, all your files and backups was locked! So from now there is NO ONE CAN HELP\r\nYOU to get your files back, EXCEPT US.\r\nYou can google it, there is no CHANCES to decrypt data without our SECRET KEY.\r\nBut don't worry ! Your files are NOT DAMAGED or LOST, they are just MODIFIED. You can get it BACK as\r\nsoon as you PAY.\r\nWe are looking only for MONEY, so there is no interest for us to steel or delete your information, it's just a\r\nBUSINESS $-)\r\nHOWEVER you can damage your DATA by yourself if you try to DECRYPT by any other software, without\r\nOUR SPECIFIC ENCRYPTION KEY !!!\r\nAlso, all of your sensitive and private information were gathered and if you decide NOT to pay,\r\nwe will upload it for public view !\r\n****\r\n***********How to get back your files ?******\r\nTo decrypt all your files and data you have to pay for the encryption KEY :\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 3 of 19\n\nBTC wallet for payment: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU\r\nAmount to pay (in Bitcoin): 60\r\n****\r\n***********How much time you have to pay?**********\r\n* You should get in contact with us within 2 days after you noticed the encryption to get a better price.\r\n* The price would be increased by 100% (double price) after 14 Days if there is no contact made.\r\n* The key would be completely erased in 21 day if there is no contact made or no deal made. \r\nSome sensetive information stolen from the file servers would be uploaded in public or to re-seller.\r\n****\r\n***********What if files can't be restored ?******\r\nTo prove that we really can decrypt your data, we will decrypt one of your locked files ! \r\nJust send it to us and you will get it back FOR FREE.\r\nThe price for the decryptor is based on the network size, number of employees, annual revenue. \r\nPlease feel free to contact us for amount of BTC that should be paid.\r\n****\r\n! IF you don't know how to get bitcoins, we will give you advise how to exchange the money.\r\n!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!\r\n! HERE IS THE SIMPLE MANUAL HOW TO GET CONTCAT WITH US !\r\n!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!\r\n1) Go to the official website of TOX messenger ( https://tox.chat/download.html )\r\n2) Download and install qTOX on your PC, choose the platform ( Windows, OS X, Linux, etc. )\r\n3) Open messenger, click \"New Profile\" and create profile.\r\n4) Click \"Add friends\" button and search our contact\r\n7D509C5BB14B1B8CB0A3338EEA9707AD31075868CB9515B17C4C0EC6A0CCCA750CA81606900D\r\n5) For identification, send to our support data from ---RAGNAR SECRET---\r\nIMPORTANT ! IF for some reasons you CAN'T CONTACT us in qTOX, here is our reserve mailbox (\r\nhello_company@protonmail.com ) send a message with a data from ---RAGNAR SECRET---\r\nWARNING!\r\n-Do not try to decrypt files with any third-party software (it will be damaged permanently)\r\n-Do not reinstall your OS, this can lead to complete data loss and files cannot be decrypted. NEVER!\r\n-Your SECRET KEY for decryption is on our server, but it will not be stored forever. DO NOT WASTE TIME ! \r\n***********************************************************************************\r\n---RAGNAR SECRET---\r\nMmE2RjY2N2YwNUZlYm*** [всего 88 знаков]\r\n---RAGNAR SECRET---\r\n***********************************************************************************\r\nПеревод записки на русский язык:\r\n                                              Привет КОМПАНИЯ!\r\n************************************************** **********************************\r\n Если вы читаете это сообщение, значит, ваша сеть была ВЗЛОМАНА, а все ваши файлы и данные\r\nзашифрованы.\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 4 of 19\n\nRAGNAR_LOCKER!\r\n************************************************** **********************************\r\n********* Что происходит с вашей системой? ************\r\nВаша сеть была взломана, все ваши файлы и резервные копии заблокированы! Таким образом, отныне\r\nНИКТО НЕ ПОМОЖЕТ ВАМ вернуть ваши файлы, КРОМЕ НАС.\r\nВы можете гуглить, нет никаких ШАНСОВ для расшифровки данных без нашего СЕКРЕТНОГО КЛЮЧА.\r\nНо не волнуйся! Ваши файлы не повреждены и не потеряны, они просто изменены. Вы можете получить\r\nих обратно, как только заплатите.\r\nНам нужны только ДЕНЬГИ, поэтому нас не интересует, как украсть или удалить вашу информацию, это\r\nпросто БИЗНЕС $ -)\r\nОДНАКО вы можете повредить свои ДАННЫЕ сами, если попытаетесь расшифровать их с помощью\r\nлюбой другой программы, без НАШЕГО СПЕЦИАЛЬНОГО КЛЮЧА ШИФРОВАНИЯ !!!\r\nКроме того, вся ваша ценная и конфиденциальная информация была собрана, и если вы НЕ заплатите,\r\nмы загрузим его для всеобщего обозрения!\r\n****\r\n*********** Как вернуть ваши файлы? ******\r\nЧтобы расшифровать все ваши файлы и данные, вы должны заплатить за ключ шифрования:\r\nBTC кошелек для оплаты: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU\r\nСумма к оплате (в биткойнах): 60\r\n****\r\n*********** За какое время вы должны заплатить? **********\r\n* Вам нужно связаться с нами в течение 2 дней после того, как вы заметили шифрование, чтобы получить\r\nлучшую цену.\r\n* Цена будет увеличена на 100% (двойная цена) через 14 дней, если нет контакта.\r\n* Ключ будет полностью удален через 21 день, если не будет установлен контакт или не будет заключена\r\nсделка.\r\nНекоторая содержательная информация, украденная с файловых серверов, будет загружена в открытый\r\nдоступ или перепродана.\r\n****\r\n*********** Что, если файлы не могут быть восстановлены? ******\r\nЧтобы доказать, что мы правда можем расшифровать ваши данные, мы расшифруем один из ваших\r\nзаблокированных файлов!\r\nПросто отправьте его нам, и вы получите его БЕСПЛАТНО.\r\nЦена на расшифровщик зависит от размера сети, количества сотрудников, годового дохода.\r\nПожалуйста, не стесняйтесь обращаться к нам за сумму BTC, которая должна быть оплачена.\r\n****\r\n! Если вы не знаете, как получить биткойны, мы дадим вам совет, как обменять деньги.\r\n!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!\r\n! ЗДЕСЬ ПРОСТОЕ РУКОВОДСТВО КАК ПОЛУЧИТЬ КОНТАКТ С НАМИ!\r\n!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!\r\n1) Зайдите на официальный сайт мессенджера TOX (https://tox.chat/download.html)\r\n2) Загрузите и установите qTOX на свой ПК, выберите платформу (Windows, OS X, Linux и т. Д.)\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 5 of 19\n\n3) Откройте мессенджер, нажмите «Новый профиль» и создайте профиль.\r\n4) Нажмите кнопку «Добавить друзей» и найдите наш контакт\r\n7D509C5BB14B1B8CB0A3338EEA9707AD31075868CB9515B17C4C0EC6A0CCCA750CA81606900D\r\n5) Для идентификации отправьте в нашу службу поддержки данные от --- RAGNAR SECRET ---\r\nВАЖНО ! Если по каким-то причинам вы не можете связаться с нами в qTOX, вот наш резервный\r\nпочтовый ящик ( hello_company@protonmail.com ) пришлите сообщение с данными из --- RAGNAR\r\nSECRET ---\r\nПРЕДУПРЕЖДЕНИЕ!\r\n-Не пытайтесь расшифровать файлы любой сторонней программой (оно повредит данные)\r\n-Не переустанавливайте свою ОС, это может привести к полной потере данных, и файлы не будут\r\nрасшифрованы. НИКОГДА!\r\n-Ваш СЕКРЕТНЫЙ КЛЮЧ для расшифровки находится на нашем сервере, но он не будет храниться\r\nвечно. НЕ ТРАТЬ ВРЕМЯ !\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Перед шифрованием проверяет расположение компьютера и завершает работу, если обнаруживается его\r\nпринадлежность к следующим странам СНГ: Россия, Азербайджан, Армения, Беларусь, Грузия, Казахстан,\r\nКиргизстан, Молдавия, Таджикистан, Туркмения, Узбекистан, Украина.\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 6 of 19\n\nДля этого RagnarLocker использует функцию \"GetLocaleInfoW\", чтобы получить язык системы\r\nпользователя (LOCALE_SYSTEM_DEFAULT) в виде строки. Затем будет проверен системный язык с\r\nпомощью языков из списка исключений, а в случае совпадения вредонос прекратит работу\r\n(\"TerminateProcess\") с кодом ошибки 0x29A. \r\n➤ Удаляет теневые копии файлов командами:\r\nWMIC.exe shadowcopy delete (PID: 3976) \r\n vssadmin.exe vssadmin delete shadows /all /quiet\r\n➤ Перед шифрованием завершает работу следующих служб, среди которых есть программы для\r\nудаленного управления: \r\nvss\r\nsql\r\nmemtas\r\nmepocs\r\nsophos\r\nveeam\r\nbackup\r\npulseway\r\nlogme\r\nlogmein\r\nconnectwise\r\nsplashtop\r\nkaseya\r\n➤ Процесс шифрования: \r\nДля каждого файла будет создан поток, который зашифрует его. После создания всех потоков RagnarLocker\r\nбудет ждать бесконечное количество времени, благодаря функции \"WaitForMultipleObjects\". В процессе\r\nшифрования в потоках RagnarLocker проверит, имеет ли файл метку \"_RAGNAR_\" в конце с функцией\r\n\"SetFilePointerEx\", прочитав 9 байт и проверив, являются ли они этой строкой. Если файл имеет эту\r\nотметку, то он будет проигнорирован процессом шифрования.\r\nВ других случаях RagnarLocker зашифрует файл и в конце записывает зашифрованный блок ключа,\r\nиспользуемый в блоке из 256 байтов, а одноразовый номер используется в другом блоке из 256 байтов и,\r\nнаконец, добавит метку \"_RAGNAR_ \", вместе с одним байтом как NULL для окончания строки (что\r\nсоставляет 9 байтов). Ключ и одноразовый номер, используемые в алгоритме Salsa20, шифруются\r\nоткрытым ключом RSA-2048, встроенным в шифровальщик. Это гарантирует только разработчикам\r\nRagnarLocker, имеющим закрытый ключ RSA, принадлежащий открытому ключу, используемому для\r\nдешифрования ключа и одноразового номера, приоритет в расшифровке файлов. \r\nПеред записью этой информации RagnarLocker будет использовать функцию \"LockFile\", а когда процесс\r\nзаписи функции будет завершен, то будет использована функция \"UnlockFile\" для освобождения уже\r\nзашифрованного файла. Это сделано для предотвращения изменения или удаления файла в процессе\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 7 of 19\n\nшифрования.\r\nПосле шифрования или, если файл уже зашифрован, RagnarLocker изменит расширение на новое, такое\r\nкак \".ragnar_45EF5632\". \r\nПодробнее в статье McAfee.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\n➤ Шифровальщик RagnarLocker старается не повредить работе операционной системе и принимает ряд\r\nмер, чтобы жертва могла иметь доступ к компьютеру, получить уведомление и заплатить выкуп. Для этого\r\nон делает следующее... \r\n￫ Пропускает следующие типы файлов:\r\n.sys, .dll, .lnk, .msi, .drv, .exe\r\n￫ Пропускает файлы и директории, включающие следующие названия:\r\nWindows\r\nWindows.old\r\nInternet Explorer\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 8 of 19\n\nGoogle\r\nOpera\r\nOpera Software\r\nMozilla\r\nMozilla Firefox\r\n$Recycle.Bin\r\nProgramData\r\nAll Users\r\nbootmgr\r\nbootmgr.efi\r\nbootmgfw.efi\r\niconcache.db\r\nntldr\r\nthumbs.db\r\nRGNR_\r\n.ragnar_\r\nkernel32.dll\r\nautorun.inf\r\nboot.ini\r\nbootfont.bin\r\nbootsect.bak\r\ndesktop.ini\r\nntuser.dat\r\nntuser.dat.log\r\nntuser.ini\r\n➤ В конец каждого зашифрованного файла добавляется маркер:\r\n_RAGNAR_\r\nФайлы, связанные с этим Ransomware:\r\nVSERV.EXE\r\nRGNR_44027CDE.txt - пример записки о выкупе\r\nRGNR_46d54535.txt - пример записки о выкупе\r\nmalware.exe\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 9 of 19\n\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: hello_company@protonmail.com\r\nСлово \"company\" заменяет то, что есть в оригинальной записке. \r\nBTC: 1E6EjTqYPHLj1uovPKKRXzMpPCcpAcVuiU\r\nTor-URL: hxxx://p6o7m73ujalhgkiv.onion/***\r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов:\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e VT\u003e VT\u003e VT\u003e VT\u003e VT\u003e VT\u003e\r\n🐞 Intezer analysis \u003e\u003e + IA\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средний.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 11 февраля 2020:\r\nПост в Твиттере \u003e\u003e\r\nЗаписка: RGNR_EA01A3BE.txt\r\nФайл: Sofreg.exe\r\nРезультаты анализов: VT + VMR + IA + HA\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 10 of 19\n\nОбновление от 10 марта 2020:\r\nПримеры расширений: .ragnar_B1298E8D,  .ragnar_44027CDE\r\nПримеры записок: RGNR_B1298E8D.txt, RGNR_44027CDE.txt\r\nФайл: VSD.EXE\r\nРезультаты анализов: VT + HA + IA + AR\r\nОбновление от 5 мая 2020:\r\nЗаписка: RGNR_44027CDE.txt\r\nTor-URL: hxxx://p6o7m73ujalhgkiv.onion/?p=***\r\nhxxx://mykgoj7uvqtgl367.onion/client/***\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 11 of 19\n\nРезультаты анализов: VT + IA + AR\r\nОбновление от 22 мая 2020:\r\nСтатья на сайте BleepingComputer \u003e\u003e\r\nВымогатели, распространяющеи RagnarLocker, теперь внедряют виртуальные машины VirtualBox Windows\r\nXP для запуска программ-вымогателей и шифрования файлов, чтобы они не обнаруживались\r\nантивирусным ПО, работающим на хосте.\r\nЭта атака начинается с создания папки инструментов, которая включает VirtualBox, виртуальный мини-диск Windows XP с именем micro.vdi и различные исполняемые файлы и сценарии для подготовки\r\nсистемы.\r\nVirtualBox имеет функцию, которая позволяет операционной системе хоста обмениваться папками и\r\nдисками как сетевым ресурсом внутри виртуальной машины. Эта функция позволяет виртуальной машине\r\nподключать общий путь как сетевой диск с виртуальной машины \\\\VBOXSVR и получать к ней полный\r\nдоступ.\r\nИспользуя пакетный файл install.bat, операторы-вымогатели сканируют локальные диски и подключенные\r\nсетевые диски на хосте и создают файл конфигурации, который автоматически разделяет их с виртуальной\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 12 of 19\n\nмашиной.\r\nПо завершении сценарий создает файл sf.txt, содержащий параметры конфигурации VirtualBox для\r\nавтоматического совместного использования всех дисков на компьютере с виртуальной машиной.\r\nЗатем злоумышленники запускают виртуальную машину Windows XP с созданным файлом конфигурации,\r\nиспользуя директивы SharedFolder, созданные их пакетным файлом.\r\nПри запуске все эти общие диски теперь будут доступны из виртуальной машины, а исполняемый файл\r\nRagnarLocker Ransomware будет автоматически находиться в корне диска\" C\".\r\nТакже включен файл vrun.bat, который находится в папке «Автозагрузка», поэтому он запускается сразу\r\nпосле запуска виртуальной машины.\r\nЭтот файл vrun.bat, показанный ниже, будет монтировать каждый общий диск, шифровать его и затем\r\nпереходить к следующему диску, совместно используемому виртуальной машиной.\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 13 of 19\n\nПоскольку антивирусное ПО, работающее на хосте ПК жертвы, не обнаружит исполняемый файл-вымогатель или активность на виртуальной машине, оно будет успешно продолжать работу, не обнаружив,\r\nчто файлы жертвы уже шифруются.\r\nКогда шифрование будет сделано, пострадавшие найдут на своем компьютере записку с требованием\r\nвыкупа, объясняющую, как была взломана их компания, и их файлы были зашифрованы.\r\nИспользование виртуальной машины для шифрования файлов устройства без обнаружения является\r\nинновационным подходом.\r\nПоскольку VirtualBox и виртуальная машина Windows XP не считаются вредоносными, большинство\r\nпрограмм обеспечения безопасности не будут обеспокоены тем, что они спокойно изменяют все данные на\r\nкомпьютере.\r\nЭта атака показывает, как ПО для обеспечения безопасности с поведенческим мониторингом становится\r\nвсе более важным для предотвращения распространения вирусов-вымогателей. Эта атака может быть\r\nобнаружена только при обнаружении необычной массовой записи в файл.\r\n***\r\n➽ Если бы пострадавшие использовала функцию защиты от программ-шантажистов, реализованную в\r\nWindows 10, их ПК были бы защищены от подобной атаки, поскольку эта защита обнаружила бы записи в\r\nзащищенных папках.\r\n \r\n \r\nЗдесь показано, как включить эту защиту в Windows 10.\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 14 of 19\n\nДобавление 5 июня 2020:\r\nПост в Твиттере \u003e\u003e\r\nОфициальный Twitter-аккаунт: \r\nhxxxs://twitter.com/Ragnarlocker\r\nОфициальный логотип: \r\n \r\nОфициальный сайт публикации утечек: \r\nRAGNAR LEAKS NEWS\r\nTor-URL: hxxx://p6o7m73ujalhgkiv.onion/\r\nОбновление от 22-30 июля 2020:\r\nПост в Твиттере \u003e\u003e\r\nПост в Твиттере \u003e\u003e\r\nРасширения (примеры): \r\n.ragn@r_B8CF767A\r\n.ragn@r_44027CDE\r\nЗаписки (прмиеры): \r\n!$R4GN4R_B8CF767A$!.txt\r\n!$R4GN4R_44027CDE$!.txt\r\nРезультаты анализов: VT + AR + IA + VMR + JSB\r\n \r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 15 of 19\n\nДобавление 28 октября 2020:\r\nРасширение (шаблон):  .__r4gN4r__XXXXXXXX\r\nРасширение (пример): .__r4gN4r__B8CF767A\r\nЗаписка: !!!_READ_ME_XXXXXXXX_!!!.txt\r\nРезультаты анализов: VT + HA + VMR \r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.32719\r\nALYac -\u003e Trojan.Ransom.RagnarLocker\r\nAvira (no cloud) -\u003e TR/Lolopak.rwsiq\r\nBitDefender -\u003e Trojan.GenericKD.34972578\r\nESET-NOD32 -\u003e A Variant Of Generik.EIMJVBL\r\nKaspersky -\u003e HEUR:Trojan.Win32.Lolopak.gen\r\nMalwarebytes -\u003e Ransom.Ragnarok\r\nRising -\u003e Downloader.Agent!8.B23 (TFE:1:Vb8pB6mgBlQ)\r\nSymantec -\u003e Downloader\r\nTencent -\u003e Win32.Trojan.Lolopak.Ehrt\r\nTrendMicro -\u003e Trojan.Win32.WACATAC.USMANJT20\r\nОбновление от 2 ноября 2020:\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 16 of 19\n\nОбновление от 6 ноября 2020:\r\nRagnarLocker о себе и своем проекте. \r\n\"Our main goal is to create cool project, that can show it's power in all it's glory and of course make profit.\"\r\n\"Companies under attack of Ragnar_Locker can count it as a bug hunting\"\r\n---\r\nПеревод на русский язык:\r\n\"Наша главная цель - сделать крутой проект, чтобы показать всю свою мощь и принести прибыль\".\r\n\"Затронутые компании атаку Ragnar_Locker могут считать поиском ошибок\"\r\n=== 2021 ===\r\nВариант от 21 июня 2021:\r\nРезультаты анализов: VT\r\n=== 2023 ===\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 17 of 19\n\nВ ходе нескольких совместных операций Европола и полиции стран Европы и Северной Америки\r\nарестованы некоторые участники группы Ragnar Locker и отключены сервера в Европе. \r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n Tweet on Twitter + Tweet + myTweet\r\n ID Ransomware (ID as RagnarLocker, RagnarLocker 2.0, RagnarLocker 2.0+)\r\n Write-up, Topic of Support\r\n *\r\nAdded later:\r\nWrite-up by BleepingComputer (on February 10, 2020)\r\nWrite-up by McAfee (on July 9, 2020)\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 18 of 19\n\nThanks:\r\n dnwls0719, Michael Gillespie\r\n Andrew Ivanov (author)\r\n Vitali Kremez, Lawrence Abrams, MalwareHunterTeam\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles. Contact.\r\nSource: https://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html\r\nPage 19 of 19",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html"
	],
	"report_names": [
		"ragnarlocker-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434301,
	"ts_updated_at": 1775791284,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/aafdc22e668a7d3469566d64f284286ff271fb97.pdf",
		"text": "https://archive.orkl.eu/aafdc22e668a7d3469566d64f284286ff271fb97.txt",
		"img": "https://archive.orkl.eu/aafdc22e668a7d3469566d64f284286ff271fb97.jpg"
	}
}