HardBit 2.0 Ransomware

Được phát hiện lần đầu tiên vào tháng 10 năm 2022, HardBit là một mối đe dọa ransomware đã được phát triển để nhắm mục tiêu vào các doanh nghiệp và tổ chức, tống tiền nạn nhân bằng các khoản thanh toán dưới dạng tiền điện tử để dữ liệu của họ được giải mã. Kể từ đó, phần mềm đe dọa này đã phát triển thành phiên bản thứ hai, HardBit 2.0, được phát hiện vào cuối tháng 11 năm 2022 và tiếp tục lan rộng trong suốt những tháng cuối năm 2022 và hơn thế nữa. Phần mềm tống tiền này hoạt động tương tự như các biến thể hiện đại khác bằng cách thu thập dữ liệu nhạy cảm ngay khi nó xâm nhập vào mạng trước khi khởi chạy tải trọng của nó để mã hóa tất cả các tệp trên hệ thống. Thông tin chi tiết về mối đe dọa và khả năng gây hại của nó đã được các chuyên gia phần mềm độc hại công bố trong một báo cáo.

HardBit 2.0 yêu cầu chi tiết bảo hiểm an ninh mạng của nạn nhân

Không giống như nhiều băng đảng ransomware khác, những người điều hành HardBit không có trang web rò rỉ chuyên dụng, có nghĩa là nạn nhân không bị đe dọa khi dữ liệu bị chiếm đoạt của họ bị lộ ra công chúng. Tuy nhiên, nhóm đe dọa sẽ tấn công thêm nếu yêu cầu của họ không được đáp ứng.

Để liên hệ với những người xử lý HardBit, nạn nhân phải sử dụng ghi chú đòi tiền chuộc được xác định trước có trong mối đe dọa phần mềm độc hại. Ghi chú này khuyến khích các nạn nhân liên hệ với họ qua email hoặc nền tảng nhắn tin tức thì Tox để đàm phán về số bitcoin họ phải trả cho khóa giải mã. Ngoài ra, những người có chính sách bảo hiểm mạng được yêu cầu chia sẻ thông tin chi tiết để nhu cầu của họ có thể được điều chỉnh cho phù hợp.

Phần mềm tống tiền HardBit 2.0 xóa các bản sao lưu và phá hoại bảo mật của thiết bị

Để tránh bị phân tích trong môi trường hộp cát của nạn nhân, HardBit Ransomware thu thập thông tin về máy chủ của nạn nhân bằng cách sử dụng các chức năng quản lý doanh nghiệp dựa trên web và Công cụ quản lý Windows (WMI). Phần mềm tống tiền thu được các chi tiết hệ thống khác nhau, chẳng hạn như các thành phần phần cứng đã cài đặt, cài đặt bộ điều hợp mạng, cũng như cấu hình IP và địa chỉ MAC, nhà sản xuất và phiên bản BIOS của hệ thống, tên người dùng và tên máy tính cũng như thông tin múi giờ.

Để thiết lập nhận dạng thương hiệu của chúng trên các tệp được mã hóa, phần mềm tống tiền tống tiền sẽ thả một biểu tượng tệp HardBit tùy chỉnh vào thư mục tài liệu của nạn nhân. Hơn nữa, phần mềm tống tiền đăng ký một lớp trong Windows Registry để liên kết phần mở rộng tệp '.hardbit2' với biểu tượng bị rớt.

Là một chiến thuật phổ biến được sử dụng bởi hầu hết các mối đe dọa ransomware hiện đại, HardBit thực hiện một số biện pháp tiền mã hóa để giảm tình trạng bảo mật của máy chủ nạn nhân. Chẳng hạn, Dịch vụ sao chép ổ đĩa ảo (VSS) bị xóa bằng Trình quản lý kiểm soát dịch vụ để ngăn các nỗ lực khôi phục. Danh mục tiện ích sao lưu Windows cũng bị xóa, cùng với bất kỳ bản sao Shadow nào, để cản trở mọi nỗ lực khôi phục.

Để tránh bị phát hiện và làm gián đoạn quy trình của phần mềm tống tiền, nhiều tính năng Chống vi-rút của Bộ bảo vệ Windows khác nhau bị vô hiệu hóa thông qua một loạt các thay đổi đối với Windows Registry. Các tính năng bị vô hiệu hóa này bao gồm bảo vệ giả mạo, khả năng chống phần mềm gián điệp, giám sát hành vi theo thời gian thực, bảo vệ khi truy cập theo thời gian thực và quét quy trình theo thời gian thực.

Để đảm bảo rằng tải trọng Phần mềm tống tiền HardBit chạy tự động mỗi khi hệ thống khởi động lại, một phiên bản của mã độc tống tiền được sao chép vào thư mục 'Khởi động' của nạn nhân. Nếu tệp này chưa có, thì tệp thực thi được đổi tên để bắt chước tệp thực thi của máy chủ lưu trữ dịch vụ hợp pháp, 'svchost.exe,' để tránh bị phát hiện.

Quá trình mã hóa và yêu cầu của HardBit 2.0 Ransomware

Sau khi xác định các ổ đĩa và ổ đĩa có sẵn trên máy của nạn nhân, phần mềm tống tiền HardBit sẽ quét các thư mục và tệp đã xác định để xác định chính xác bất kỳ dữ liệu nào cần mã hóa. Các tệp đã được chọn để mã hóa được mở và sau đó bị ghi đè, đây là một chiến thuật được sử dụng để cản trở các nỗ lực khôi phục. Kỹ thuật này được sử dụng thay vì ghi dữ liệu đã mã hóa vào một tệp mới và xóa tệp gốc, đây là một cách tiếp cận kém phức tạp hơn.

Sau khi các tệp được mã hóa, chúng được đổi tên bằng tên tệp có vẻ ngẫu nhiên, theo sau là mã định danh bao gồm địa chỉ email liên hệ, 'threatactor@example.tld' và phần mở rộng tệp '.hardbit2'. Ngoài ra, ghi chú đòi tiền chuộc bằng văn bản thuần túy và ghi chú đòi tiền chuộc của ứng dụng HTML (HTA) được ghi vào thư mục gốc của ổ đĩa và tất cả các thư mục chứa tệp được mã hóa. Những ghi chú về tiền chuộc này cung cấp hướng dẫn về cách trả tiền chuộc và nhận khóa giải mã.

Sau khi hoàn tất quá trình mã hóa, một tệp hình ảnh sẽ được lưu trên màn hình nền của nạn nhân và được đặt làm hình nền hệ thống.

Nội dung yêu cầu của HardBit 2.0 Ransomware là:

'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦

----

chuyện gì đã xảy ra thế?

Tất cả các tệp của bạn đã bị đánh cắp và sau đó được mã hóa. Nhưng đừng lo lắng, mọi thứ đều an toàn và sẽ được trả lại cho bạn.

----

Làm cách nào tôi có thể lấy lại các tệp của mình?

Bạn phải trả tiền cho chúng tôi để lấy lại các tập tin. Chúng tôi không có tài khoản ngân hàng hoặc paypal, bạn chỉ phải thanh toán cho chúng tôi qua Bitcoin.

----

Làm cách nào tôi có thể mua bitcoin?

Bạn có thể mua bitcoin từ tất cả các trang web uy tín trên thế giới và gửi chúng cho chúng tôi. Chỉ cần tìm kiếm cách mua bitcoin trên internet. Đề xuất của chúng tôi là các trang web này.

>>https://www.binance.com/vi<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<

----

đảm bảo của bạn để khôi phục các tập tin là gì?

Nó chỉ là một doanh nghiệp. Chúng tôi hoàn toàn không quan tâm đến bạn và giao dịch của bạn, ngoại trừ nhận được lợi ích. Nếu chúng tôi không hoàn thành công việc và trách nhiệm pháp lý của mình - sẽ không có ai hợp tác với chúng tôi. Nó không phải là lợi ích của chúng tôi.

Để kiểm tra khả năng trả lại tệp, bạn có thể gửi cho chúng tôi 2 tệp bất kỳ có phần mở rộng ĐƠN GIẢN (jpg,xls,doc, v.v... không phải cơ sở dữ liệu!) và kích thước thấp (tối đa 1 mb), chúng tôi sẽ giải mã và gửi lại cho bạn.

Đó là sự đảm bảo của chúng tôi.

----

Làm thế nào để liên lạc với bạn?

Hoặc liên hệ với chúng tôi qua email:>>godgood55@tutanota.com<< hoặc >>alexgod5566@xyzmailpro.com<<

----

Quá trình thanh toán sẽ như thế nào sau khi thanh toán?

Sau khi thanh toán, chúng tôi sẽ gửi cho bạn công cụ giải mã cùng với hướng dẫn và chúng tôi sẽ ở bên bạn cho đến khi tệp cuối cùng được giải mã.

----

Điều gì xảy ra nếu tôi không trả tiền cho bạn?

Nếu bạn không trả tiền cho chúng tôi, bạn sẽ không bao giờ có quyền truy cập vào các tệp của mình vì khóa riêng chỉ nằm trong tay chúng tôi. Giao dịch này không quan trọng đối với chúng tôi,

nhưng nó quan trọng đối với bạn, vì bạn không những không có quyền truy cập vào các tệp của mình mà còn mất thời gian. Và thời gian càng trôi qua, bạn sẽ càng mất mát và

Nếu bạn không trả tiền chuộc, chúng tôi sẽ tấn công công ty của bạn một lần nữa trong tương lai.

----

khuyến nghị của bạn là gì?

- Không bao giờ thay đổi tên của các tệp, nếu bạn muốn thao tác với các tệp, hãy đảm bảo rằng bạn đã sao lưu chúng. Nếu có vấn đề với các tập tin, chúng tôi không chịu trách nhiệm về nó.

- Đừng bao giờ làm việc với các công ty trung gian, vì họ lấy thêm tiền của bạn. Ví dụ: nếu chúng tôi hỏi bạn 50.000 đô la, họ sẽ cho bạn biết 55.000 đô la. Đừng sợ chúng tôi, chỉ cần gọi cho chúng tôi.

----

Rất quan trọng! Đối với những người có bảo hiểm mạng chống lại các cuộc tấn công ransomware.

Các công ty bảo hiểm yêu cầu bạn phải giữ bí mật thông tin bảo hiểm của mình, điều này có nghĩa là không bao giờ trả số tiền tối đa được quy định trong hợp đồng hoặc không trả gì cả, làm gián đoạn đàm phán.

Công ty bảo hiểm sẽ cố gắng làm hỏng các cuộc đàm phán bằng mọi cách có thể để sau đó họ có thể lập luận rằng bạn sẽ bị từ chối bảo hiểm vì bảo hiểm của bạn không chi trả số tiền chuộc.

Ví dụ: công ty của bạn được bảo hiểm với giá 10 triệu đô la, trong khi đàm phán với đại lý bảo hiểm của bạn về khoản tiền chuộc, anh ta sẽ cung cấp cho chúng tôi số tiền thấp nhất có thể, chẳng hạn như 100 nghìn đô la,

chúng tôi sẽ từ chối số tiền nhỏ và yêu cầu ví dụ như số tiền 15 triệu đô la, đại lý bảo hiểm sẽ không bao giờ cung cấp cho chúng tôi ngưỡng bảo hiểm cao nhất của bạn là 10 triệu đô la.

Anh ta sẽ làm bất cứ điều gì để phá hỏng các cuộc đàm phán và từ chối thanh toán toàn bộ cho chúng tôi và để bạn một mình giải quyết vấn đề của mình. Nếu bạn nói với chúng tôi một cách ẩn danh rằng công ty của bạn đã được bảo hiểm với giá 10 triệu đô la và

chi tiết quan trọng liên quan đến phạm vi bảo hiểm, chúng tôi sẽ không yêu cầu hơn 10 triệu đô la tương ứng với đại lý bảo hiểm. Bằng cách đó, bạn sẽ tránh được rò rỉ và giải mã được thông tin của mình.

Nhưng vì đại lý bảo hiểm lén lút cố tình thương lượng để không trả tiền bảo hiểm nên chỉ có công ty bảo hiểm thắng trong tình huống này. Để tránh tất cả những điều này và nhận được tiền từ bảo hiểm,

hãy nhớ thông báo ẩn danh cho chúng tôi về tính khả dụng và các điều khoản bảo hiểm, điều này có lợi cho cả bạn và chúng tôi, nhưng không có lợi cho công ty bảo hiểm. Các công ty bảo hiểm triệu phú nghèo sẽ không

chết đói và sẽ không trở nên nghèo hơn khi thanh toán số tiền tối đa được quy định trong hợp đồng, bởi vì mọi người đều biết rằng hợp đồng đắt hơn tiền, vì vậy hãy để họ đáp ứng các điều kiện

được quy định trong hợp đồng bảo hiểm của bạn, nhờ vào sự tương tác của chúng tôi.

-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----

ID của bạn :

Chìa khóa của bạn:'