HardBit 2.0 Ransomware
HardBit, впервые обнаруженный в октябре 2022 года, представляет собой программу-вымогатель, которая была разработана для предприятий и организаций и вымогает у жертв платежи в виде криптовалюты за расшифровку их данных. С тех пор это угрожающее программное обеспечение превратилось во вторую версию HardBit 2.0, которая была обнаружена в конце ноября 2022 года и продолжала распространяться в течение последних месяцев 2022 года и далее. Этот вымогатель работает аналогично другим современным вариантам, собирая конфиденциальные данные, как только он проникает в сеть, прежде чем запускать свою полезную нагрузку для шифрования всех файлов в системе. Подробности об угрозе и ее разрушительных возможностях были опубликованы в отчете экспертов по вредоносным программам.
Оглавление
HardBit 2.0 запрашивает детали страхования кибербезопасности жертв
В отличие от многих других кибер-банд вымогателей, операторы HardBit не имеют специального сайта утечки, а это означает, что жертвам не угрожает публичное раскрытие их незаконно присвоенных данных. Однако группа угрожает дальнейшими атаками, если их требования не будут выполнены.
Чтобы связаться с обработчиками HardBit, жертвы должны использовать предопределенную записку о выкупе, содержащуюся в угрозе вредоносного ПО. Это примечание призывает жертв связываться с ними по электронной почте или через платформу обмена мгновенными сообщениями Tox для переговоров о том, сколько биткойнов они должны заплатить за ключ дешифрования. В дополнение к этому, тех, у кого есть полисы киберстрахования, просят поделиться подробностями, чтобы их требования можно было соответствующим образом скорректировать.
Программа-вымогатель HardBit 2.0 удаляет резервные копии и подрывает безопасность устройств
Чтобы избежать анализа в изолированной программной среде жертвы, программа-вымогатель HardBit собирает информацию о хосте жертвы, используя веб-управление предприятием и функции инструментария управления Windows (WMI). Программа-вымогатель получает различные сведения о системе, такие как установленные аппаратные компоненты, настройки сетевого адаптера, а также IP-конфигурацию и MAC-адрес, производителя системы и версию BIOS, имя пользователя и имя компьютера, а также информацию о часовом поясе.
Чтобы установить свою торговую марку в зашифрованных файлах, полезная нагрузка программы-вымогателя помещает специальный значок файла HardBit в папку документов жертвы. Кроме того, программа-вымогатель регистрирует класс в реестре Windows, чтобы связать расширение файла «.hardbit2» с отброшенным значком.
Как обычная тактика, используемая большинством современных угроз программ-вымогателей, HardBit принимает несколько мер предварительного шифрования, чтобы снизить уровень безопасности хоста-жертвы. Например, служба теневого копирования томов (VSS) удаляется с помощью диспетчера управления службами, чтобы предотвратить попытки восстановления. Каталог утилит резервного копирования Windows также удаляется вместе со всеми теневыми копиями, чтобы помешать любым попыткам восстановления.
Чтобы избежать обнаружения и прерывания процесса вымогателей, различные функции антивирусной программы "Защитник Windows" отключаются путем внесения ряда изменений в реестр Windows. Эти отключенные функции включают защиту от несанкционированного доступа, возможности защиты от программ-шпионов, мониторинг поведения в реальном времени, защиту при доступе в реальном времени и сканирование процессов в реальном времени.
Чтобы гарантировать, что полезная нагрузка HardBit Ransomware запускается автоматически при каждой перезагрузке системы, версия программы-вымогателя копируется в папку «Автозагрузка» жертвы. Если этот файл еще не существует, исполняемый файл переименовывается, чтобы имитировать исполняемый файл законного хоста службы, «svchost.exe», чтобы избежать обнаружения.
Процесс шифрования и требования программ-вымогателей HardBit 2.0
После определения доступных дисков и томов на компьютере жертвы полезная нагрузка программы-вымогателя HardBit сканирует идентифицированные каталоги и файлы, чтобы определить любые данные для шифрования. Файлы, которые были выбраны для шифрования, открываются, а затем перезаписываются, что является тактикой, используемой для затруднения восстановления. Этот метод используется вместо записи зашифрованных данных в новый файл и удаления оригинала, что является менее сложным подходом.
После того, как файлы зашифрованы, они переименовываются с, казалось бы, случайным именем файла, за которым следует идентификатор, включающий контактный адрес электронной почты «threatactor@example.tld» и расширение файла «.hardbit2». Кроме того, примечание о выкупе в виде обычного текста и примечание о выкупе в формате HTML (HTA) записываются в корень диска и во все папки, содержащие зашифрованные файлы. Эти заметки о выкупе содержат инструкции о том, как заплатить выкуп и получить ключ дешифрования.
По завершении процесса шифрования файл изображения сохраняется на рабочем столе жертвы и устанавливается в качестве обоев системы.
Текст требований HardBit 2.0 Ransomware:
'¦¦¦¦¦HARDBIT RASOMWARE¦¦¦¦¦
----
что случилось?
Все ваши файлы были украдены, а затем зашифрованы. Но не волнуйтесь, все в безопасности и будет возвращено вам.
----
Как я могу вернуть свои файлы?
Вы должны заплатить нам, чтобы вернуть файлы. У нас нет банковских счетов или счетов PayPal, вам нужно платить нам только через биткойны.
----
Как я могу купить биткойны?
Вы можете купить биткойны на всех авторитетных сайтах мира и отправить их нам. Просто найдите, как купить биткойны в Интернете. Наше предложение - эти сайты.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Какова ваша гарантия восстановления файлов?
Это просто бизнес. Нам абсолютно наплевать на вас и ваши сделки, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто сотрудничать не будет. Это не в наших интересах.
Для проверки возможности возврата файлов вы можете отправить нам любые 2 файла с ПРОСТЫМИ расширениями(jpg,xls,doc и т.д... не базы данных!) и небольшими размерами(макс 1 мб), мы их расшифруем и отправим обратно тебе.
Это наша гарантия.
----
Как связаться с вами?
Или свяжитесь с нами по электронной почте:>>godgood55@tutanota.com<< или >>alexgod5566@xyzmailpro.com<<
----
Как будет происходить оплата после оплаты?
После оплаты мы отправим вам инструмент для расшифровки вместе с руководством, и мы будем с вами, пока не будет расшифрован последний файл.
----
Что будет, если я не заплачу тебе?
Если вы не заплатите нам, у вас никогда не будет доступа к вашим файлам, потому что закрытый ключ находится только в наших руках. Эта сделка не важна для нас,
но это важно для вас, потому что вы не только не имеете доступа к своим файлам, но и теряете время. И чем больше времени пройдет, тем больше вы потеряете и
Если вы не заплатите выкуп, мы снова нападем на вашу компанию в будущем.
----
Каковы ваши рекомендации?
- Никогда не меняйте имена файлов, если вы хотите манипулировать файлами, обязательно сделайте их резервную копию. Если есть проблема с файлами, мы не несем за это ответственности.
- Никогда не работайте с компаниями-посредниками, потому что они берут с вас больше денег. Например, если мы попросим у вас 50 000 долларов, вам скажут 55 000 долларов. Не бойтесь нас, просто позвоните нам.
----
Очень важно! Для тех, у кого есть киберстраховка от атак программ-вымогателей.
Страховые компании требуют от вас держать информацию о страховке в тайне, это ни в коем случае не платить максимальную сумму, указанную в договоре, или вообще ничего не платить, срывая переговоры.
Страховая компания попытается сорвать переговоры любым возможным способом, чтобы позже они могли заявить, что вам будет отказано в покрытии, потому что ваша страховка не покрывает сумму выкупа.
Например ваша компания застрахована на 10 миллионов долларов, при переговорах с вашим страховым агентом о выкупе он предложит нам минимально возможную сумму, например 100 тысяч долларов,
мы откажемся от мизерной суммы и попросим например сумму в 15 миллионов долларов, страховой агент никогда не предложит нам верхний порог вашей страховки в 10 миллионов долларов.
Он сделает все, чтобы сорвать переговоры, и откажется полностью платить нам, и оставит вас наедине с вашей проблемой. Если вы анонимно сообщили нам, что ваша компания застрахована на 10 миллионов долларов и другие
важные детали, касающиеся страхового покрытия, мы не будем требовать более 10 миллионов долларов США в переписке со страховым агентом. Таким образом вы бы избежали утечки и расшифровали вашу информацию.
Но поскольку подлый страховой агент намеренно ведет переговоры, чтобы не платить по страховому возмещению, в этой ситуации выигрывает только страховая компания. Чтобы всего этого избежать и получить деньги по страховке,
обязательно сообщите нам анонимно о наличии и условиях страховой защиты, это выгодно и вам и нам, но не выгодно страховой компании. Бедные мультимиллионеры-страховщики не будут
голодать и не станет беднее от выплаты максимальной суммы, указанной в договоре, ведь все знают, что договор дороже денег, поэтому пусть выполняют условия
прописанные в вашем договоре страхования, благодаря нашему взаимодействию.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Ваш ID :
Твой ключ :'
