باج افزار HardBit 2.0

هارد بیت برای اولین بار در اکتبر 2022 شناسایی شد، یک تهدید باج افزار است که برای هدف قرار دادن مشاغل و سازمان ها توسعه یافته است و قربانیان را با پرداخت هایی به شکل ارز رمزنگاری شده برای رمزگشایی داده های آنها اخاذی می کند. این نرم‌افزار تهدیدآمیز از آن زمان به نسخه دوم خود یعنی HardBit 2.0 تبدیل شد که در اواخر نوامبر 2022 مشاهده شد و در ماه‌های آخر سال 2022 و پس از آن به گسترش خود ادامه داد. این باج‌افزار مشابه دیگر انواع مدرن با جمع‌آوری داده‌های حساس به محض نفوذ به شبکه قبل از راه‌اندازی محموله خود برای رمزگذاری همه فایل‌های روی سیستم، عمل می‌کند. در گزارشی توسط کارشناسان بدافزار جزئیاتی درباره این تهدید و قابلیت های آسیب رسان آن منتشر شد.

HardBit 2.0 جزئیات بیمه امنیت سایبری قربانیان را می‌پرسد

برخلاف بسیاری دیگر از باج‌افزارهای سایبرگ، اپراتورهای HardBit یک سایت نشت اختصاصی ندارند، به این معنی که قربانیان در معرض خطر افشای عمومی داده‌های اختلاس‌شده‌شان قرار نمی‌گیرند. با این حال، این گروه تهدید می کند که اگر خواسته های آنها برآورده نشود، حملات بیشتری خواهد کرد.

برای تماس با گردانندگان HardBit، قربانیان باید از یادداشت باج از پیش تعریف شده موجود در تهدید بدافزار استفاده کنند. این یادداشت قربانیان را تشویق می‌کند تا از طریق ایمیل یا پلت فرم پیام‌رسانی فوری Tox برای مذاکره در مورد میزان بیت کوینی که باید برای کلید رمزگشایی بپردازند، با آنها تماس بگیرند. علاوه بر این، از کسانی که دارای بیمه نامه سایبری هستند خواسته می شود تا جزئیات را به اشتراک بگذارند تا خواسته های آنها مطابق با آن تنظیم شود.

باج‌افزار HardBit 2.0 پشتیبان‌گیری‌ها را حذف می‌کند و امنیت دستگاه‌ها را تضعیف می‌کند.

برای جلوگیری از تجزیه و تحلیل در محیط sandbox قربانی، باج افزار HardBit با استفاده از مدیریت سازمانی مبتنی بر وب و توابع ابزار مدیریت ویندوز (WMI) اطلاعات مربوط به میزبان قربانی را جمع آوری می کند. این باج افزار جزئیات سیستمی مختلفی مانند قطعات سخت افزاری نصب شده، تنظیمات آداپتور شبکه، و همچنین پیکربندی IP و آدرس MAC، سازنده سیستم و نسخه BIOS، نام کاربری و نام کامپیوتر و اطلاعات منطقه زمانی را به دست می آورد.

باج‌افزار برای تعیین هویت برند خود روی فایل‌های رمزگذاری‌شده، یک نماد فایل HardBit سفارشی را در پوشه اسناد قربانی می‌اندازد. علاوه بر این، باج‌افزار کلاسی را در رجیستری ویندوز ثبت می‌کند تا پسوند فایل '.hardbit2' را با نماد حذف شده مرتبط کند.

به عنوان یک تاکتیک رایج که توسط اکثر تهدیدهای باج افزار مدرن به کار می رود، هارد بیت چندین اقدام پیش رمزگذاری را برای کاهش وضعیت امنیتی میزبان قربانی انجام می دهد. به عنوان مثال، سرویس کپی حجم سایه (VSS) با استفاده از مدیریت کنترل سرویس حذف می شود تا از تلاش های بازیابی جلوگیری شود. کاتالوگ ابزار پشتیبان گیری ویندوز نیز به همراه هرگونه کپی Shadow حذف می شود تا هرگونه تلاش برای بازیابی را خنثی کند.

برای جلوگیری از شناسایی و اختلال در فرآیند باج افزار، ویژگی های مختلف آنتی ویروس Windows Defender از طریق یک سری تغییرات رجیستری ویندوز غیرفعال می شوند. این ویژگی‌های غیرفعال شامل حفاظت از دستکاری، قابلیت‌های ضد جاسوس‌افزار، نظارت بر رفتار در زمان واقعی، حفاظت در دسترس در زمان واقعی و اسکن فرآیند در زمان واقعی است.

برای اطمینان از اینکه بار باج‌افزار HardBit به‌طور خودکار هر بار که سیستم راه‌اندازی مجدد می‌شود، اجرا می‌شود، نسخه‌ای از باج‌افزار در پوشه «Startup» قربانی کپی می‌شود. اگر این فایل از قبل وجود نداشته باشد، نام فایل اجرایی برای تقلید از فایل اجرایی میزبان سرویس قانونی، 'svchost.exe' تغییر نام داده می شود تا شناسایی نشود.

فرآیند رمزگذاری و درخواست‌های باج‌افزار HardBit 2.0

پس از تعیین درایوها و حجم‌های موجود در دستگاه قربانی، باج‌افزار HardBit دایرکتوری‌ها و فایل‌های شناسایی‌شده را اسکن می‌کند تا هرگونه داده را برای رمزگذاری مشخص کند. فایل‌هایی که برای رمزگذاری انتخاب شده‌اند باز می‌شوند و سپس بازنویسی می‌شوند، که تاکتیکی است که برای جلوگیری از تلاش‌های بازیابی استفاده می‌شود. این تکنیک به جای نوشتن داده های رمزگذاری شده در یک فایل جدید و حذف اصلی استفاده می شود، که رویکردی کمتر پیچیده است.

هنگامی که فایل‌ها رمزگذاری شدند، با یک نام فایل به ظاهر تصادفی و به دنبال آن یک شناسه که شامل آدرس ایمیل تماس، 'threatactor@example.tld' و پسوند فایل '.hardbit2' است، تغییر نام می‌دهند. علاوه بر این، یک یادداشت باج‌گیری متن ساده و یک یادداشت باج‌گیری برنامه HTML (HTA) در ریشه درایو و همه پوشه‌های حاوی فایل‌های رمزگذاری شده نوشته می‌شوند. این یادداشت‌های باج راهنمایی‌هایی را درباره نحوه پرداخت دیه و دریافت کلید رمزگشایی ارائه می‌دهند.

پس از تکمیل فرآیند رمزگذاری، یک فایل تصویری در دسکتاپ قربانی ذخیره می شود و به عنوان تصویر زمینه سیستم تنظیم می شود.

متن درخواست‌های باج‌افزار HardBit 2.0 به شرح زیر است:

'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦

----

چی شد؟

تمام فایل های شما به سرقت رفته و سپس رمزگذاری شده اند. اما نگران نباشید، همه چیز امن است و به شما بازگردانده می شود.

----

چگونه می توانم فایل های خود را برگردانم؟

برای پس گرفتن فایل ها باید به ما پول پرداخت کنید. ما حساب بانکی یا پی پال نداریم، فقط باید از طریق بیت کوین به ما پرداخت کنید.

----

چگونه می توانم بیت کوین بخرم؟

شما می توانید از تمامی سایت های معتبر دنیا بیت کوین بخرید و برای ما ارسال کنید. فقط نحوه خرید بیت کوین را در اینترنت جستجو کنید. پیشنهاد ما همین سایت هاست.

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<

----

تضمین شما برای بازیابی فایل ها چیست؟

این فقط یک تجارت است. ما مطلقاً به شما و معاملات شما اهمیتی نمی دهیم، به جز دریافت مزایا. اگر ما کار و تعهدات خود را انجام ندهیم - هیچ کس با ما همکاری نخواهد کرد. به نفع ما نیست

برای بررسی توانایی بازگرداندن فایل ها، می توانید هر 2 فایل را با پسوندهای ساده (jpg، xls، doc، و غیره ... نه پایگاه داده!) و اندازه های کم (حداکثر 1 مگابایت) برای ما ارسال کنید، ما آنها را رمزگشایی می کنیم و پس می فرستیم. برای تو.

تضمین ما همین است.

----

چگونه با شما تماس بگیریم؟

یا از طریق ایمیل با ما تماس بگیرید:>>godgood55@tutanota.com<< یا >>alexgod5566@xyzmailpro.com<<

----

روند پرداخت پس از پرداخت چگونه خواهد بود؟

پس از پرداخت، ابزار رمزگشایی را به همراه راهنما برای شما ارسال می کنیم و تا رمزگشایی آخرین فایل در کنار شما خواهیم بود.

----

اگر به شما پول نپردازم چه اتفاقی می افتد؟

اگر به ما پولی پرداخت نکنید، هرگز به فایل های خود دسترسی نخواهید داشت زیرا کلید خصوصی فقط در دست ماست. این معامله برای ما مهم نیست،

اما برای شما مهم است، زیرا نه تنها به فایل های خود دسترسی ندارید، بلکه زمان را نیز از دست می دهید. و هر چه زمان بیشتر بگذرد، بیشتر از دست خواهید داد و

اگر باج را پرداخت نکنید، در آینده دوباره به شرکت شما حمله خواهیم کرد.

----

توصیه های شما چیست؟

- هرگز نام فایل ها را تغییر ندهید، اگر می خواهید فایل ها را دستکاری کنید، حتما از آنها یک نسخه پشتیبان تهیه کنید. در صورت وجود مشکل در فایل ها، ما مسئولیتی در قبال آن نداریم.

- هرگز با شرکت های واسطه کار نکنید، زیرا آنها پول بیشتری از شما می گیرند. مثلا اگر از شما 50000 دلار بخواهیم به شما می گویند 55000 دلار. از ما نترسید فقط با ما تماس بگیرید.

----

خیلی مهم! برای کسانی که بیمه سایبری در برابر حملات باج افزار دارند.

شرکت های بیمه از شما می خواهند که اطلاعات بیمه خود را مخفی نگه دارید، این به این معنی است که هرگز حداکثر مبلغ مشخص شده در قرارداد را پرداخت نکنید یا اصلاً چیزی پرداخت نکنید و مذاکرات را مختل کنید.

شرکت بیمه سعی خواهد کرد به هر طریقی که می تواند مذاکرات را از مسیر خارج کند تا بعداً استدلال کنند که از پوشش شما محروم می شوید زیرا بیمه شما مبلغ باج را پوشش نمی دهد.

به عنوان مثال شرکت شما 10 میلیون دلار بیمه شده است، در حالی که در حال مذاکره با نماینده بیمه شما در مورد باج است که او کمترین مبلغ ممکن را به ما پیشنهاد می دهد، مثلا 100 هزار دلار،

ما مبلغ ناچیز را رد می‌کنیم و مثلاً مبلغ 15 میلیون دلار را می‌خواهیم، نماینده بیمه هرگز سقف بالای 10 میلیون دلار بیمه شما را به ما پیشنهاد نمی‌کند.

او هر کاری می‌کند تا مذاکرات را به هم بزند و از پرداخت کامل پول ما خودداری کند و شما را با مشکلتان تنها بگذارد. اگر به طور ناشناس به ما گفتید که شرکت شما 10 میلیون دلار و غیره بیمه شده است

جزئیات مهم در مورد پوشش بیمه، ما بیش از 10 میلیون دلار مکاتبه با نماینده بیمه نخواهیم داشت. به این ترتیب از لو رفتن جلوگیری می کردید و اطلاعات خود را رمزگشایی می کردید.

اما از آنجایی که نماینده دزدگیر بیمه عمداً مذاکره می کند تا خسارت بیمه را پرداخت نکند، در این شرایط فقط شرکت بیمه برنده است. برای جلوگیری از همه اینها و دریافت پول بیمه،

در دسترس بودن و شرایط پوشش بیمه را حتماً به صورت ناشناس به ما اطلاع دهید، هم به نفع شما و هم ما است، اما به نفع شرکت بیمه نیست. بیمه های مولتی میلیونر فقیر این کار را نمی کنند

گرسنگی بکشید و از پرداخت حداکثر مبلغ تعیین شده در قرارداد فقیرتر نخواهید شد، زیرا همه می دانند که قرارداد از پول گرانتر است، پس بگذارید شرایط را رعایت کنند.

به لطف تعامل ما در قرارداد بیمه شما تجویز شده است.

------------------------------------------------ ------------------------------------------------ ------------------------------------------------ ------------------------------------------------ -----

آی دی شما :

کلید شما:'