HardBit 2.0 Ransomware
Pirmą kartą aptikta 2022 m. spalį, „HardBit“ yra išpirkos reikalaujanti grėsmė, kuri buvo sukurta siekiant nukreipti į įmones ir organizacijas, prievartaujant aukas mokėjimus kriptovaliuta, kad jų duomenys būtų iššifruoti. Nuo to laiko ši grėsminga programinė įranga išsivystė į antrąją versiją „HardBit 2.0“, kuri buvo pastebėta 2022 m. lapkričio mėn. pabaigoje ir toliau plito vėlesniais 2022 m. mėnesiais ir vėliau. Ši išpirkos reikalaujanti programinė įranga veikia panašiai kaip ir kiti šiuolaikiniai variantai – renka slaptus duomenis, kai tik įsiskverbia į tinklą, prieš paleidžiant savo naudingąją apkrovą, kad užšifruotų visus sistemoje esančius failus. Išsamią informaciją apie grėsmę ir jos žalingas galimybes paskelbė kenkėjiškų programų ekspertai.
Turinys
„HardBit 2.0“ prašo išsamios informacijos apie aukų kibernetinio saugumo draudimą
Skirtingai nuo daugelio kitų išpirkos reikalaujančių kibernetinių kompiuterių, „HardBit “ operatoriai neturi specialios informacijos nutekėjimo svetainės, o tai reiškia, kad aukoms negresia viešas jų pasisavintų duomenų atskleidimas. Tačiau grupuotė grasina tolesniais išpuoliais, jei jų reikalavimai nebus patenkinti.
Norėdami susisiekti su „HardBit“ tvarkytojais, aukos turi naudoti iš anksto nustatytą išpirkos raštą, esantį kenkėjiškų programų grėsmėje. Ši pastaba skatina aukas susisiekti su jomis el. paštu arba „Tox“ momentinių pranešimų platforma, kad būtų galima derėtis dėl to, kiek bitkoinų jie turėtų sumokėti už iššifravimo raktą. Be to, kibernetinio draudimo polisus turinčių asmenų prašoma pasidalinti informacija, kad būtų galima atitinkamai pakoreguoti jų poreikius.
„HardBit 2.0 Ransomware“ ištrina atsargines kopijas ir pažeidžia įrenginių saugumą
Kad nebūtų analizuojama aukos smėlio dėžės aplinkoje, „HardBit Ransomware“ renka informaciją apie aukos pagrindinį kompiuterį, naudodama žiniatinklio įmonės valdymo ir „Windows Management Instrumentation“ (WMI) funkcijas. Išpirkos reikalaujanti programa gauna įvairią sistemos informaciją, pvz., įdiegtus aparatūros komponentus, tinklo adapterio nustatymus, taip pat IP konfigūraciją ir MAC adresą, sistemos gamintoją ir BIOS versiją, vartotojo vardą ir kompiuterio pavadinimą bei laiko juostos informaciją.
Siekdama nustatyti savo prekės ženklo tapatybę šifruotuose failuose, išpirkos reikalaujanti programa į aukos dokumentų aplanką įmeta tinkintą HardBit failo piktogramą. Be to, išpirkos reikalaujanti programa užregistruoja klasę „Windows“ registre, kad susietų failo plėtinį „.hardbit2“ su nukritusia piktograma.
Kaip įprasta daugelio šiuolaikinių išpirkos programų grėsmių taktika, „HardBit“ imasi kelių išankstinio šifravimo priemonių, kad sumažintų aukos pagrindinio kompiuterio saugos padėtį. Pavyzdžiui, šešėlinio tomo kopijavimo paslauga (VSS) ištrinta naudojant paslaugų valdymo tvarkyklę, kad būtų išvengta atkūrimo pastangų. „Windows“ atsarginės kopijos paslaugų katalogas taip pat pašalinamas kartu su visomis „Shadow“ kopijomis, kad būtų užkirstas kelias atkūrimo bandymams.
Kad būtų išvengta išpirkos reikalaujančių programų aptikimo ir sutrikdymo, įvairios Windows Defender Antivirusinės funkcijos išjungiamos atlikus daugybę Windows registro pakeitimų. Šios išjungtos funkcijos apima apsaugą nuo klastojimo, apsaugos nuo šnipinėjimo galimybes, elgsenos stebėjimą realiuoju laiku, apsaugą realiuoju laiku ir procesų nuskaitymą realiuoju laiku.
Siekiant užtikrinti, kad HardBit Ransomware naudingoji apkrova veiktų automatiškai kiekvieną kartą, kai sistema paleidžiama iš naujo, išpirkos reikalaujančios programinės įrangos versija nukopijuojama į aukos aplanką „Startup“. Jei šio failo dar nėra, vykdomasis failas pervadinamas taip, kad būtų panašus į teisėtą paslaugos pagrindinio kompiuterio vykdomąjį failą „svchost.exe“, kad būtų išvengta aptikimo.
Šifravimo procesas ir „HardBit 2.0 Ransomware“ reikalavimai
Nustačius aukos įrenginyje esančius diskus ir tomus, „HardBit“ išpirkos reikalaujanti programa nuskaito identifikuotus katalogus ir failus, kad tiksliai nustatytų bet kokius duomenis, kuriuos reikia šifruoti. Failai, kurie buvo pasirinkti šifruoti, atidaromi ir perrašomi, o tai yra taktika, naudojama atkūrimo pastangoms trukdyti. Ši technika naudojama vietoj šifruotų duomenų įrašymo į naują failą ir originalo ištrynimo, o tai yra mažiau sudėtingas metodas.
Kai failai užšifruojami, jie pervadinami iš pažiūros atsitiktiniu failo pavadinimu, po kurio pateikiamas identifikatorius, apimantis kontaktinį el. pašto adresą, „threatactor@example.tld“ ir failo plėtinį „.hardbit2“. Be to, paprasto teksto išpirkos laiškas ir HTML programos (HTA) išpirkos laiškas įrašomi į disko šaknį ir visus aplankus, kuriuose yra užšifruoti failai. Šiuose išpirkos užrašuose pateikiami nurodymai, kaip sumokėti išpirkos mokestį ir gauti iššifravimo raktą.
Užbaigus šifravimo procesą, vaizdo failas išsaugomas aukos darbalaukyje ir nustatomas kaip sistemos fonas.
„HardBit 2.0 Ransomware“ reikalavimų tekstas yra toks:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
kas nutiko?
Visi jūsų failai buvo pavogti ir užšifruoti. Bet nesijaudinkite, viskas yra saugu ir jums bus grąžinta.
----
Kaip galiu susigrąžinti failus?
Turite mums sumokėti, kad susigrąžintume failus. Mes neturime banko ar paypal sąskaitų, jūs turite sumokėti mums tik per Bitcoin.
----
Kaip galiu nusipirkti bitkoinų?
Galite nusipirkti bitkoinų iš visų gerbiamų svetainių pasaulyje ir atsiųsti juos mums. Tiesiog ieškokite, kaip nusipirkti bitkoinų internete. Mūsų pasiūlymas yra šios svetainės.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Kokia yra jūsų garantija atkurti failus?
Tai tik verslas. Mums visiškai nerūpi jūs ir jūsų pasiūlymai, išskyrus naudos gavimą. Jei neatliksime savo darbo ir įsipareigojimų – niekas su mumis nebendradarbiaus. Tai ne mūsų interesai.
Norėdami patikrinti failų grąžinimo galimybę, galite atsiųsti mums bet kokius 2 failus su SIMPLE plėtiniais (jpg,xls,doc ir tt... ne duomenų bazėmis!) ir mažo dydžio (maks. 1 mb), mes juos iššifruosime ir atsiųsime atgal. tau.
Tai yra mūsų garantija.
----
Kaip su jumis susisiekti?
Arba susisiekite su mumis el. paštu:>>godgood55@tutanota.com<< arba >>alexgod5566@xyzmailpro.com<<
----
Kaip vyks mokėjimo procesas po apmokėjimo?
Po apmokėjimo atsiųsime jums iššifravimo įrankį kartu su vadovu ir būsime su jumis, kol bus iššifruotas paskutinis failas.
----
Kas atsitiks, jei aš tau nemokėsiu?
Jei nesumokėsite mums, niekada neturėsite prieigos prie savo failų, nes privatus raktas yra tik mūsų rankose. Šis sandoris mums nėra svarbus,
bet jums tai svarbu, nes ne tik neturite prieigos prie failų, bet ir prarandate laiką. Ir kuo daugiau laiko praeis, tuo daugiau prarasite ir
Jei nesumokėsite išpirkos, ateityje vėl pulsime jūsų įmonę.
----
Kokios jūsų rekomendacijos?
- Niekada nekeiskite failų pavadinimų, jei norite jais manipuliuoti, būtinai pasidarykite jų atsarginę kopiją. Jei kyla problemų dėl failų, mes už tai neatsakome.
– Niekada nedirbkite su tarpininkaujančiomis įmonėmis, nes jos ima iš jūsų daugiau pinigų. Pavyzdžiui, jei paprašysime jūsų 50 000 USD, jie jums pasakys 55 000 USD. Nebijok mūsų, tiesiog paskambink.
----
Labai svarbus! Tiems, kurie turi kibernetinį draudimą nuo ransomware atakų.
Draudimo bendrovės reikalauja, kad jūsų draudimo informacija būtų paslaptyje, tai yra niekada nemokėti maksimalios sutartyje nurodytos sumos arba išvis nemokėti nieko, trikdant derybas.
Draudimo bendrovė stengsis visais įmanomais būdais sužlugdyti derybas, kad vėliau galėtų ginčytis, kad jums nebus suteikta apsauga, nes jūsų draudimas nepadengia išpirkos sumos.
Pavyzdžiui, jūsų įmonė yra apdrausta 10 milijonų dolerių, o derantis su jūsų draudimo agentu dėl išpirkos jis mums pasiūlys mažiausią įmanomą sumą, pavyzdžiui, 100 tūkstančių dolerių,
mes atsisakysime menkos sumos ir paprašysime, pavyzdžiui, 15 milijonų dolerių, draudimo agentas niekada nepasiūlys mums aukščiausios 10 milijonų dolerių jūsų draudimo ribos.
Jis padarys viską, kad sužlugdytų derybas, atsisakys mums visiškai sumokėti ir paliks jus ramybėje su savo problema. Jei anonimiškai pasakėte, kad jūsų įmonė buvo apdrausta 10 mln. USD ir kt
svarbios informacijos apie draudimo apsaugą, susirašinėdami su draudimo agentu nereikalautume daugiau nei 10 mln. Tokiu būdu būtumėte išvengę nutekėjimo ir iššifravę savo informaciją.
Bet kadangi gudrus draudimo agentas tyčia derasi, kad nemokėtų draudimo išmokos, šioje situacijoje laimi tik draudimo bendrovė. Norėdami viso to išvengti ir gauti pinigų už draudimą,
būtinai anonimiškai informuokite apie draudimo apsaugos prieinamumą ir terminus, tai naudinga tiek jums, tiek mums, bet nenaudinga draudimo bendrovei. Vargšai multimilijonieriai draudikai to nepadarys
badu ir netaps skurdesnis nuo sutartyje nurodytos maksimalios sumos sumokėjimo, nes visi žino, kad sutartis brangesnė už pinigus, tai tegul vykdo sąlygas
mūsų bendravimo dėka.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Jūsų ID:
Jūsų raktas:'
