HardBit 2.0 Ransomware
Először 2022 októberében észlelték, a HardBit egy zsarolóvírus-fenyegetés, amelyet arra fejlesztettek ki, hogy vállalkozásokat és szervezeteket célozzon meg, és kriptovaluta formájában zsarolja ki az áldozatokat adataik visszafejtése érdekében. Ez a fenyegető szoftver azóta a második verziója, a HardBit 2.0 lett, amelyet 2022 novemberének vége felé figyeltek meg, és 2022 későbbi hónapjaiban és azután tovább terjedt. Ez a zsarolóprogram a többi modern változathoz hasonlóan működik: érzékeny adatokat gyűjt, amint behatol a hálózatba, mielőtt elindítaná a rakományt, hogy titkosítsa a rendszer összes fájlját. A fenyegetésről és annak károsító képességeiről egy jelentésben számoltak be kártevő-szakértők.
Tartalomjegyzék
A HardBit 2.0 az áldozatok kiberbiztonsági biztosításának részleteit kéri
Sok más zsarolóvírus-kiberganggal ellentétben a HardBit üzemeltetői nem rendelkeznek külön kiszivárogtatási oldallal, ami azt jelenti, hogy az áldozatokat nem fenyegeti az eltulajdonított adataik nyilvánosságra hozatala. A csoport azonban további támadásokkal fenyeget, ha követeléseiket nem teljesítik.
A HardBit-kezelőkkel való kapcsolatfelvételhez az áldozatoknak a kártevő fenyegetésben található előre meghatározott váltságdíj-jegyzetet kell használniuk. Ez a megjegyzés arra ösztönzi az áldozatokat, hogy e-mailben vagy a Tox azonnali üzenetküldő platformon lépjenek kapcsolatba velük, hogy tárgyalásokat folytassanak arról, mennyi bitcoint kell fizetniük a visszafejtési kulcsért. Ezen túlmenően arra kérik a kiberbiztosítással rendelkezőket, hogy osszák meg a részleteket, hogy igényeik megfelelően módosíthatók legyenek.
A HardBit 2.0 Ransomware törli a biztonsági másolatokat és aláássa az eszközök biztonságát
Az áldozat sandbox-környezetében történő elemzés elkerülése érdekében a HardBit Ransomware webalapú vállalatirányítási és Windows Management Instrumentation (WMI) funkciók segítségével információkat gyűjt az áldozat gazdájáról. A ransomware különféle rendszeradatokat szerez be, például a telepített hardverösszetevőket, a hálózati adapter beállításait, valamint az IP-konfigurációt és a MAC-címet, a rendszer gyártóját és a BIOS verzióját, a felhasználónevet és a számítógép nevét, valamint az időzóna-információkat.
A titkosított fájlok márkaidentitásának megállapításához a zsarolóvírus egy egyéni HardBit fájl ikont dob az áldozat dokumentummappájába. Ezenkívül a zsarolóprogram egy osztályt regisztrál a Windows rendszerleíró adatbázisában, hogy a „.hardbit2” fájlkiterjesztést társítsa az elejtett ikonhoz.
A legtöbb modern ransomware fenyegetés által alkalmazott általános taktikaként a HardBit számos előzetes titkosítási intézkedést tesz, hogy csökkentse az áldozat gazdagépének biztonsági helyzetét. Például a Shadow Volume Copy Service (VSS) a Service Control Manager használatával törlődik a helyreállítási erőfeszítések megakadályozása érdekében. A Windows biztonsági mentési segédprogram-katalógusa is eltávolítva az árnyékmásolatokkal együtt, hogy megakadályozza a helyreállítási kísérleteket.
A zsarolóprogram-folyamat észlelésének és megszakításának elkerülése érdekében a Windows Defender Antivirus különféle szolgáltatásait a Windows rendszerleíró adatbázisának módosítása miatt letiltják. Ezek a letiltott funkciók közé tartozik a szabotázs elleni védelem, a kémprogram-elhárító képességek, a valós idejű viselkedésfigyelés, a valós idejű hozzáférés elleni védelem és a valós idejű folyamatellenőrzés.
Annak érdekében, hogy a HardBit Ransomware rakomány automatikusan lefusson a rendszer minden újraindításakor, a zsarolóprogram egy verziója az áldozat „Startup” mappájába másolódik. Ha ez a fájl még nincs jelen, a végrehajtható fájl átnevezése utánozza a legális szolgáltatásgazda futtatható fájlt, az „svchost.exe”-t, hogy elkerülje az észlelést.
A titkosítási folyamat és a HardBit 2.0 Ransomware követelményei
Miután meghatározta a rendelkezésre álló meghajtókat és köteteket az áldozat gépén, a HardBit ransomware rakomány átvizsgálja az azonosított könyvtárakat és fájlokat, hogy meghatározza a titkosításhoz szükséges adatokat. A titkosításra kiválasztott fájlok megnyitása, majd felülírása megtörténik, ami a helyreállítási erőfeszítések akadályozására használt taktika. Ezt a technikát használják ahelyett, hogy titkosított adatokat írnának egy új fájlba, és törölnék az eredetit, ami kevésbé kifinomult megközelítés.
A fájlok titkosítása után a rendszer átnevezi őket egy látszólag véletlenszerű fájlnévvel, amelyet egy azonosító követ, amely tartalmazza a kapcsolattartási e-mail címet, a „threatactor@example.tld” és a „.hardbit2” fájlkiterjesztést. Ezenkívül egy egyszerű szövegű váltságdíj-jegyzet és egy HTML-alkalmazás (HTA) váltságdíj-jegyzet a meghajtó gyökerébe és az összes titkosított fájlokat tartalmazó mappába íródik. Ezek a váltságdíj-jegyzetek útmutatást adnak a váltságdíj kifizetéséhez és a visszafejtési kulcs átvételéhez.
A titkosítási folyamat befejeztével a rendszer egy képfájlt ment az áldozat asztalára, és beállítja a rendszer háttérképeként.
A HardBit 2.0 Ransomware követeléseinek szövege a következő:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
mi történt?
Minden fájlját ellopták, majd titkosították. De ne aggódjon, minden biztonságban van, és visszaadjuk Önnek.
----
Hogyan szerezhetem vissza a fájljaimat?
Fizetnie kell nekünk, hogy visszakapjuk a fájlokat. Nincs bank- vagy paypal számlánk, csak Bitcoinon keresztül kell fizetnie nekünk.
----
Hogyan vásárolhatok bitcoint?
A világ összes neves webhelyéről vásárolhat bitcoint, és elküldheti nekünk. Csak keresse meg, hogyan vásárolhat bitcoint az interneten. Javaslatunk ezek az oldalak.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Mi a garancia a fájlok visszaállítására?
Ez csak egy üzlet. Egyáltalán nem törődünk Önnel és ajánlataival, kivéve az előnyök megszerzését. Ha nem végezzük el a munkánkat és a kötelezettségeinket - senki sem fog velünk együttműködni. Nem a mi érdekeink.
A fájlok visszaküldésének ellenőrzésére küldhet nekünk 2 db SIMPLE kiterjesztésű (jpg,xls,doc stb... nem adatbázis!) és kis méretű (maximum 1 mb) fájlt, ezeket visszafejtjük és visszaküldjük. neked.
Ez a mi garanciánk.
----
Hogyan lehet kapcsolatba lépni Önnel?
Vagy lépjen kapcsolatba velünk e-mailben:>>godgood55@tutanota.com<< vagy >>alexgod5566@xyzmailpro.com<<
----
Hogyan történik a fizetési folyamat a fizetés után?
Fizetés után elküldjük Önnek a visszafejtő eszközt az útmutatóval együtt, és az utolsó fájl visszafejtéséig veled leszünk.
----
Mi történik, ha nem fizetek?
Ha nem fizet nekünk, soha nem fog hozzáférni a fájljaihoz, mert a privát kulcs csak a mi kezünkben van. Ez a tranzakció nem fontos számunkra,
de fontos neked, mert nemcsak hogy nem férsz hozzá a fájlokhoz, de időt is veszítesz. És minél több idő telik el, annál többet fog veszíteni és
Ha nem fizeti ki a váltságdíjat, a jövőben ismét megtámadjuk cégét.
----
Mik a javaslatai?
- Soha ne változtassa meg a fájlok nevét, ha módosítani szeretné a fájlokat, mindenképpen készítsen biztonsági másolatot róluk. Ha probléma van a fájlokkal, nem vállalunk felelősséget.
- Soha ne dolgozz együtt közvetítő cégekkel, mert több pénzt kérnek tőled. Például, ha 50 000 dollárt kérünk, akkor 55 000 dollárt fognak mondani. Ne féljen tőlünk, csak hívjon minket.
----
Nagyon fontos! Azok számára, akik kiberbiztosítással rendelkeznek ransomware támadások ellen.
A biztosítók megkövetelik a biztosítási adatok titokban tartását, ez az, hogy soha ne fizesse ki a szerződésben meghatározott maximális összeget, vagy ne fizessen semmit, ami megzavarja a tárgyalásokat.
A biztosító társaság megpróbálja a tárgyalásokat bármilyen módon kisiklatni, hogy később azzal érveljenek, hogy Ön nem kap fedezetet, mert a biztosítás nem fedezi a váltságdíj összegét.
Például az Ön cége 10 millió dollárra van biztosítva, miközben a biztosítási ügynökével a váltságdíjról tárgyal, a lehető legalacsonyabb összeget ajánlja fel nekünk, például 100 ezer dollárt,
visszautasítjuk a csekély összeget, és például 15 millió dollárt kérünk, a biztosítási ügynök soha nem fogja felajánlani nekünk az Ön 10 millió dolláros biztosításának felső küszöbét.
Mindent megtesz a tárgyalások kisiklására, és megtagadja, hogy teljesen kifizessen minket, és békén hagyjon a problémájával. Ha névtelenül közölte velünk, hogy cége 10 millió dollárra és egyebekre biztosított
Fontos részletek a biztosítási fedezetről, nem követelnénk 10 millió dollárnál többet a biztosítási ügynökkel folytatott levelezésben. Így elkerülhette volna a kiszivárgást, és visszafejtette volna adatait.
De mivel az alattomos biztosítási ügynök szándékosan tárgyal, hogy ne fizesse ki a biztosítási kárt, ebben a helyzetben csak a biztosító nyer. Hogy mindezt elkerülje, és pénzt kapjon a biztosításból,
a biztosítás elérhetőségéről és feltételeiről mindenképpen anonim módon tájékoztasson bennünket, ez Önnek és nekünk is előnyös, de a biztosítónak nem. Szegény multimilliomos biztosítók nem fognak
éhezni és nem lesz szegényebb a szerződésben meghatározott maximális összeg befizetésétől, mert mindenki tudja, hogy a szerződés drágább, mint a pénz, hát teljesítsék a feltételeket
biztosítási szerződésében előírta, interakciónknak köszönhetően.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Az Ön azonosítója:
A kulcsod :'
