HardBit 2.0 Ransomware

ตรวจพบครั้งแรกในเดือนตุลาคม 2565 HardBit เป็นภัยคุกคามแรนซัมแวร์ที่พัฒนาขึ้นเพื่อกำหนดเป้าหมายธุรกิจและองค์กร โดยขู่กรรโชกเหยื่อด้วยการชำระเงินในรูปของสกุลเงินดิจิทัลเพื่อให้ข้อมูลของพวกเขาถูกถอดรหัส ซอฟต์แวร์คุกคามนี้ได้พัฒนาเป็นเวอร์ชันที่สองคือ HardBit 2.0 ซึ่งตรวจพบในช่วงปลายเดือนพฤศจิกายน 2565 และแพร่กระจายอย่างต่อเนื่องตลอดเดือนต่อๆ ไปของปี 2565 และหลังจากนั้น แรนซั่มแวร์นี้ทำงานคล้ายกับตัวแปรสมัยใหม่อื่น ๆ โดยรวบรวมข้อมูลที่ละเอียดอ่อนทันทีที่แทรกซึมเข้าไปในเครือข่ายก่อนที่จะเปิดเพย์โหลดเพื่อเข้ารหัสไฟล์ทั้งหมดในระบบ รายละเอียดเกี่ยวกับภัยคุกคามและความสามารถในการสร้างความเสียหายได้รับการเปิดเผยในรายงานโดยผู้เชี่ยวชาญด้านมัลแวร์

HardBit 2.0 ขอรายละเอียดการประกันความปลอดภัยทางไซเบอร์ของเหยื่อ

ซึ่งแตกต่างจากแก๊งไซเบอร์แรนซัมแวร์อื่น ๆ ผู้ให้บริการของ HardBit ไม่มีไซต์เฉพาะสำหรับการรั่วไหล หมายความว่าผู้ที่ตกเป็นเหยื่อจะไม่ถูกคุกคามด้วยการเปิดเผยข้อมูลที่ถูกยักยอกต่อสาธารณะ อย่างไรก็ตาม กลุ่มนี้ขู่ว่าจะโจมตีต่อไปหากพวกเขาไม่ได้รับการตอบสนอง

ในการติดต่อตัวจัดการ HardBit ผู้ที่ตกเป็นเหยื่อจะต้องใช้บันทึกเรียกค่าไถ่ที่กำหนดไว้ล่วงหน้าซึ่งมีอยู่ในภัยคุกคามมัลแวร์ บันทึกนี้สนับสนุนให้ผู้ที่ตกเป็นเหยื่อติดต่อพวกเขาทางอีเมลหรือแพลตฟอร์มการส่งข้อความโต้ตอบแบบทันทีของ Tox เพื่อเจรจาเกี่ยวกับจำนวนเงิน bitcoin ที่พวกเขาควรจ่ายสำหรับคีย์ถอดรหัส นอกจากนี้ ผู้ที่มีกรมธรรม์ประกันภัยไซเบอร์จะถูกขอให้แบ่งปันรายละเอียดเพื่อให้สามารถปรับเปลี่ยนความต้องการของพวกเขาได้อย่างเหมาะสม

HardBit 2.0 Ransomware ลบข้อมูลสำรองและบ่อนทำลายความปลอดภัยของอุปกรณ์

เพื่อหลีกเลี่ยงการถูกวิเคราะห์ในสภาพแวดล้อมแซนด์บ็อกซ์ของเหยื่อ HardBit Ransomware จะรวบรวมข้อมูลเกี่ยวกับโฮสต์ของเหยื่อโดยใช้การจัดการองค์กรบนเว็บและฟังก์ชัน Windows Management Instrumentation (WMI) แรนซัมแวร์ได้รับรายละเอียดต่างๆ ของระบบ เช่น ส่วนประกอบฮาร์ดแวร์ที่ติดตั้ง การตั้งค่าอะแดปเตอร์เครือข่าย ตลอดจนการกำหนดค่า IP และที่อยู่ MAC ผู้ผลิตระบบและเวอร์ชัน BIOS ชื่อผู้ใช้และชื่อคอมพิวเตอร์ และข้อมูลโซนเวลา

เพื่อสร้างเอกลักษณ์ของแบรนด์ในไฟล์ที่เข้ารหัส เพย์โหลดแรนซัมแวร์จะปล่อยไอคอนไฟล์ HardBit แบบกำหนดเองลงในโฟลเดอร์เอกสารของเหยื่อ นอกจากนี้ แรนซัมแวร์จะลงทะเบียนคลาสภายใน Windows Registry เพื่อเชื่อมโยงนามสกุลไฟล์ '.hardbit2' กับไอคอนที่ดรอป

ในฐานะที่เป็นกลวิธีทั่วไปที่ใช้โดยภัยคุกคามแรนซัมแวร์สมัยใหม่ส่วนใหญ่ HardBit ใช้มาตรการเข้ารหัสล่วงหน้าหลายอย่างเพื่อลดท่าทางการรักษาความปลอดภัยของโฮสต์ที่เป็นเหยื่อ ตัวอย่างเช่น Shadow Volume Copy Service (VSS) จะถูกลบโดยใช้ Service Control Manager เพื่อป้องกันความพยายามในการกู้คืน แคตตาล็อกยูทิลิตี้สำรองข้อมูลของ Windows จะถูกลบออกพร้อมกับสำเนาเงา เพื่อขัดขวางความพยายามในการกู้คืน

เพื่อหลีกเลี่ยงการตรวจพบและการหยุดชะงักของกระบวนการแรนซัมแวร์ คุณลักษณะต่างๆ ของ Windows Defender Antivirus จะถูกปิดใช้งานผ่านชุดการเปลี่ยนแปลงของ Windows Registry คุณลักษณะที่ปิดใช้งานเหล่านี้ประกอบด้วยการป้องกันการงัดแงะ ความสามารถในการป้องกันสปายแวร์ การตรวจสอบพฤติกรรมแบบเรียลไทม์ การป้องกันการเข้าถึงแบบเรียลไทม์ และการสแกนกระบวนการตามเวลาจริง

เพื่อให้แน่ใจว่าเพย์โหลด HardBit Ransomware ทำงานโดยอัตโนมัติทุกครั้งที่ระบบรีบูต เวอร์ชันของแรนซัมแวร์จะถูกคัดลอกไปยังโฟลเดอร์ 'Startup' ของเหยื่อ หากไม่มีไฟล์นี้อยู่ ไฟล์ปฏิบัติการจะถูกเปลี่ยนชื่อเพื่อเลียนแบบไฟล์ปฏิบัติการโฮสต์บริการที่ถูกต้องตามกฎหมาย 'svchost.exe' เพื่อหลีกเลี่ยงการถูกตรวจพบ

กระบวนการเข้ารหัสและความต้องการของ HardBit 2.0 Ransomware

หลังจากกำหนดไดร์ฟและโวลุ่มที่พร้อมใช้งานบนเครื่องของเหยื่อแล้ว เพย์โหลด HardBit ransomware จะสแกนไดเร็กทอรีและไฟล์ที่ระบุเพื่อระบุข้อมูลสำหรับการเข้ารหัส ไฟล์ที่ได้รับเลือกสำหรับการเข้ารหัสจะเปิดขึ้นแล้วเขียนทับ ซึ่งเป็นกลวิธีที่ใช้เพื่อขัดขวางความพยายามในการกู้คืน เทคนิคนี้ใช้แทนการเขียนข้อมูลที่เข้ารหัสลงในไฟล์ใหม่และลบข้อมูลต้นฉบับ ซึ่งเป็นวิธีการที่ซับซ้อนน้อยกว่า

เมื่อเข้ารหัสไฟล์แล้ว ไฟล์จะถูกเปลี่ยนชื่อด้วยชื่อไฟล์ที่ดูเหมือนสุ่ม ตามด้วยตัวระบุที่มีที่อยู่อีเมลสำหรับติดต่อ 'threatactor@example.tld' และนามสกุลไฟล์ '.hardbit2' นอกจากนี้ บันทึกเรียกค่าไถ่ที่เป็นข้อความธรรมดาและบันทึกค่าไถ่ของแอปพลิเคชัน HTML (HTA) จะถูกเขียนไปยังรูทของไดรฟ์และโฟลเดอร์ทั้งหมดที่มีไฟล์เข้ารหัส บันทึกค่าไถ่เหล่านี้ให้คำแนะนำเกี่ยวกับวิธีชำระค่าไถ่และรับคีย์ถอดรหัส

เมื่อเสร็จสิ้นขั้นตอนการเข้ารหัส ไฟล์รูปภาพจะถูกบันทึกบนเดสก์ท็อปของเหยื่อและตั้งเป็นวอลเปเปอร์ของระบบ

ข้อความในความต้องการของ HardBit 2.0 Ransomware คือ:

'¦¦¦¦¦ฮาร์ดบิตแรนซัมแวร์¦¦¦¦¦

----

เกิดอะไรขึ้น?

ไฟล์ทั้งหมดของคุณถูกขโมยและเข้ารหัสแล้ว แต่ไม่ต้องกังวล ทุกอย่างจะปลอดภัยและจะถูกส่งคืนให้คุณ

----

ฉันจะกู้คืนไฟล์ของฉันได้อย่างไร

คุณต้องจ่ายเงินให้เราเพื่อรับไฟล์คืน เราไม่มีบัญชีธนาคารหรือบัญชี paypal คุณต้องจ่ายให้เราผ่าน Bitcoin เท่านั้น

----

ฉันจะซื้อบิตคอยน์ได้อย่างไร

คุณสามารถซื้อบิตคอยน์จากเว็บไซต์ที่มีชื่อเสียงทั้งหมดในโลกแล้วส่งมาให้เรา เพียงค้นหาวิธีซื้อ bitcoins บนอินเทอร์เน็ต คำแนะนำของเราคือไซต์เหล่านี้

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<

----

การรับประกันของคุณในการกู้คืนไฟล์คืออะไร?

มันเป็นเพียงธุรกิจ เราไม่สนใจคุณและข้อเสนอของคุณอย่างแน่นอน ยกเว้นการได้รับผลประโยชน์ หากเราไม่ทำงานและหนี้สิน - จะไม่มีใครร่วมมือกับเรา มันไม่อยู่ในความสนใจของเรา

หากต้องการตรวจสอบความสามารถในการส่งคืนไฟล์ คุณสามารถส่งไฟล์ 2 ไฟล์ที่มีนามสกุลง่าย (jpg, xls, doc, ฯลฯ... ไม่ใช่ฐานข้อมูล!) และขนาดต่ำ (สูงสุด 1 mb) มาให้เรา เราจะถอดรหัสและส่งกลับ ถึงคุณ.

นั่นคือการรับประกันของเรา

----

วิธีการติดต่อกับคุณ?

หรือติดต่อเราทางอีเมล:>>godgood55@tutanota.com<< หรือ >>alexgod5566@xyzmailpro.com<<

----

ขั้นตอนการชำระเงินหลังจากชำระเงินแล้วจะเป็นอย่างไร?

หลังจากชำระเงิน เราจะส่งเครื่องมือถอดรหัสไปให้คุณพร้อมกับคำแนะนำ และเราจะอยู่กับคุณจนกว่าไฟล์สุดท้ายจะถูกถอดรหัส

----

จะเกิดอะไรขึ้นหากฉันไม่จ่ายเงินให้คุณ

หากคุณไม่จ่ายเงินให้เรา คุณจะไม่สามารถเข้าถึงไฟล์ของคุณได้เนื่องจากคีย์ส่วนตัวอยู่ในมือของเราเท่านั้น ธุรกรรมนี้ไม่สำคัญสำหรับเรา

แต่มันสำคัญสำหรับคุณ เพราะไม่เพียงแต่คุณจะไม่สามารถเข้าถึงไฟล์ของคุณเท่านั้น แต่คุณยังเสียเวลาอีกด้วย และยิ่งเวลาผ่านไปคุณก็จะยิ่งสูญเสียและ

หากคุณไม่จ่ายค่าไถ่ เราจะโจมตีบริษัทของคุณอีกครั้งในอนาคต

----

คำแนะนำของคุณคืออะไร?

- ห้ามเปลี่ยนชื่อไฟล์ หากคุณต้องการจัดการไฟล์ ตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลไว้ หากมีปัญหากับไฟล์ เราจะไม่รับผิดชอบ

- อย่าทำงานกับบริษัทตัวกลาง เพราะพวกเขาเรียกเก็บเงินจากคุณมากกว่า ตัวอย่างเช่น ถ้าเราขอเงินคุณ 50,000 ดอลลาร์ พวกเขาจะบอกคุณ 55,000 ดอลลาร์ อย่ากลัวเรา เพียงโทรหาเรา

----

สำคัญมาก! สำหรับผู้ที่มีประกันไซเบอร์จากการโจมตีของแรนซัมแวร์

บริษัทประกันกำหนดให้คุณต้องเก็บข้อมูลประกันของคุณเป็นความลับ ห้ามจ่ายเงินสูงสุดตามที่ระบุไว้ในสัญญา หรือไม่ต้องจ่ายอะไรเลย ซึ่งจะขัดขวางการเจรจา

บริษัทประกันจะพยายามขัดขวางการเจรจาด้วยวิธีใด ๆ ที่พวกเขาสามารถทำได้ เพื่อให้พวกเขาโต้แย้งได้ในภายหลังว่าคุณจะถูกปฏิเสธความคุ้มครองเนื่องจากประกันของคุณไม่ครอบคลุมจำนวนเงินค่าไถ่

ตัวอย่างเช่น บริษัทของคุณมีประกัน 10 ล้านดอลลาร์ ในขณะที่กำลังเจรจากับตัวแทนประกันของคุณเกี่ยวกับค่าไถ่ เขาจะเสนอจำนวนเงินที่ต่ำที่สุดเท่าที่จะเป็นไปได้ เช่น 100,000 ดอลลาร์

เราจะปฏิเสธจำนวนเงินเล็กน้อยและขอเช่นจำนวนเงิน 15 ล้านดอลลาร์ ตัวแทนประกันจะไม่เสนอเกณฑ์สูงสุดสำหรับการประกันของคุณที่ 10 ล้านดอลลาร์

เขาจะทำทุกอย่างเพื่อขัดขวางการเจรจาและปฏิเสธที่จะจ่ายเงินให้เราทั้งหมดและปล่อยให้คุณอยู่คนเดียวกับปัญหาของคุณ หากคุณบอกเราโดยไม่เปิดเผยตัวตนว่าบริษัทของคุณได้รับการประกันมูลค่า 10 ล้านดอลลาร์และอื่นๆ

รายละเอียดที่สำคัญเกี่ยวกับความคุ้มครองของประกัน เราจะไม่เรียกร้องเกินกว่า 10 ล้านดอลลาร์ในการติดต่อกับตัวแทนประกัน ด้วยวิธีนี้คุณจะหลีกเลี่ยงการรั่วไหลและถอดรหัสข้อมูลของคุณได้

แต่เนื่องจากตัวแทนประกันที่ส่อเสียดจงใจเจรจาเพื่อไม่ให้จ่ายค่าสินไหมประกัน บริษัทประกันเท่านั้นที่ชนะในสถานการณ์นี้ เพื่อหลีกเลี่ยงสิ่งเหล่านี้และรับเงินประกัน

โปรดแจ้งให้เราทราบโดยไม่เปิดเผยตัวตนเกี่ยวกับความพร้อมใช้งานและเงื่อนไขความคุ้มครองของประกัน ซึ่งเป็นประโยชน์ต่อทั้งคุณและเรา แต่จะไม่เป็นประโยชน์ต่อบริษัทประกัน ผู้ประกันตนหลายล้านคนจนจะไม่

อดอยากและจะไม่ยากจนลงจากการจ่ายเงินตามจำนวนสูงสุดที่กำหนดในสัญญา เพราะใคร ๆ ก็รู้ว่าสัญญาแพงกว่าเงิน ดังนั้น ปล่อยให้พวกเขาทำตามเงื่อนไข

ที่กำหนดไว้ในสัญญาประกันภัยของคุณ เนื่องจากการโต้ตอบของเรา

-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----

รหัสของคุณ :

คีย์ของคุณ :'