深入分析：Ragnar Locker 勒索软件针对关键行业的行为

关键要点

• Ragnar Locker 勒索软件的加密过程经过 Cybereason 研究人员的分析。
• 该软件识别目标位置，并在独联体国家内中止进程。
• 加密文件将附加特定后缀，并显示赎金说明。

Ragnar Locker 勒索软件的新研究无疑引起了业界的关注。根据

的报告，Cybereason 研究人员对其加密过程进行了深入的 examination。

Ragnar Locker在执行时首先会检查目标的地理位置。如果目标位于独联体国家，该进程会立即终止。相反，如果不在独联体内，则会收集系统信息，并通过自定义哈希函数进行隐藏。该勒索软件的多个服务随后会被解密，接着从嵌入的
RSA 公钥和赎金说明中进行解码。

在加密文件的过程中，Ragnar Locker 会忽略特定的文件，如 autoruns.inf、boot.ini、bootfront.bin 和
bootsect.bak 等。被加密的文件将附加“.ragnar_[哈希计算机名]”的后缀，并会创建一个 notepad.exe进程来显示赎金说明。Cybereason 全球安全运营中心首席安全分析师 Loic Castel表示：“通常，进行双重勒索的操作者需要在他们试图加密的网络中获得完全权限。在初始访问阶段（例如，通过定向钓鱼控制设备时），他们可以访问许多机器，从中提取数据并通过外部服务或域进行外泄。”

相关的信息安全挑战

挑战 | 描述
—|—
双重勒索 | 勒索软件运营者不仅加密数据，还会窃取数据以威逼受害者。
地理位置检测 | 勒索软件能识别其目标位于何处并据此调整策略。
系统信息收集 | 收集的信息会被用来增强攻击的有效性。

Ragnar Locker勒索软件的行为模式表现出它对目标选择和数据处理的高度敏感性，这在信息安全领域引发了一些重要的反思。当前企业需要加强安全防护措施，以应对此类复杂的网络攻击。