HardBit 2.0 勒索软件

HardBit 于 2022 年 10 月首次被发现，是一种针对企业和组织而开发的勒索软件威胁，勒索受害者以加密货币的形式付款以解密其数据。这种威胁性软件已经演变为第二个版本 HardBit 2.0，该版本于 2022 年 11 月底被观察到，并在 2022 年下半年及以后继续传播。该勒索软件的运行方式与其他现代变体类似，它会在渗透到网络后立即收集敏感数据，然后再启动其有效负载以加密系统上的所有文件。恶意软件专家在一份报告中发布了有关威胁及其破坏能力的详细信息。

HardBit 2.0 要求受害者提供网络安全保险详情

与许多其他勒索软件网络团伙不同， HardBit的运营商没有专门的泄漏站点，这意味着受害者不会受到公开披露其盗用数据的威胁。然而，如果他们的要求得不到满足，该组织确实威胁要发动进一步袭击。

要联系 HardBit 处理程序，受害者必须使用恶意软件威胁中包含的预定义赎金票据。本说明鼓励受害者通过电子邮件或 Tox 即时消息平台与他们联系，就他们应该为解密密钥支付多少比特币进行协商。除此之外，那些拥有网络保险政策的人被要求分享细节，以便他们的需求可以相应地调整。

HardBit 2.0 勒索软件删除备份并破坏设备的安全

为了避免在受害者的沙箱环境中被分析，HardBit 勒索软件利用基于 Web 的企业管理和 Windows Management Instrumentation (WMI) 功能收集有关受害者主机的信息。勒索软件获取各种系统详细信息，例如已安装的硬件组件、网络适配器设置以及 IP 配置和 MAC 地址、系统制造商和 BIOS 版本、用户名和计算机名称以及时区信息。

为了在加密文件上建立品牌标识，勒索软件有效负载将自定义 HardBit 文件图标放入受害者的文档文件夹中。此外，勒索软件在 Windows 注册表中注册了一个类，将文件扩展名“.hardbit2”与放置的图标相关联。

作为大多数现代勒索软件威胁所采用的常见策略，HardBit 采取了多种预加密措施来降低受害主机的安全态势。例如，使用服务控制管理器删除卷影复制服务 (VSS) 以防止恢复工作。 Windows 备份实用程序目录连同任何卷影副本也被删除，以阻止任何恢复尝试。

为了避免检测和破坏勒索软件进程，通过一系列 Windows 注册表更改禁用了各种 Windows Defender 防病毒功能。这些禁用的功能包括篡改保护、反间谍软件功能、实时行为监控、实时访问保护和实时进程扫描。

为确保每次系统重新启动时 HardBit 勒索软件有效负载自动运行，勒索软件的一个版本被复制到受害者的“启动”文件夹中。如果此文件不存在，可执行文件将重命名为模仿合法服务主机可执行文件“svchost.exe”以避免被检测到。

加密过程和 HardBit 2.0 勒索软件的需求

在确定受害者机器上的可用驱动器和卷后，HardBit 勒索软件有效负载会扫描已识别的目录和文件，以查明要加密的任何数据。已选择进行加密的文件将被打开，然后被覆盖，这是一种用来阻碍恢复工作的策略。使用此技术而不是将加密数据写入新文件并删除原始文件，这是一种不太复杂的方法。

一旦文件被加密，它们就会被重命名为一个看似随机的文件名，后跟一个标识符，其中包括联系电子邮件地址“threatactor@example.tld”和“.hardbit2”文件扩展名。此外，纯文本赎金票据和 HTML 应用程序 (HTA) 赎金票据被写入驱动器根目录和所有包含加密文件的文件夹。这些赎金票据提供了有关如何支付赎金和接收解密密钥的说明。

完成加密过程后，图像文件将保存在受害者的桌面上并设置为系统墙纸。

HardBit 2.0勒索软件的要求文本是：

'¦¦¦¦¦HARDBIT 勒索软件¦¦¦¦¦

----

发生了什么？

您的所有文件都已被盗，然后被加密。不过别担心，一切都是安全的，都会还给你的。

----

我怎样才能取回我的文件？

你必须付钱给我们才能取回文件。我们没有银行或贝宝账户，您只需通过比特币向我们付款。

----

我如何购买比特币？

您可以从世界上所有信誉良好的网站购买比特币并将它们发送给我们。只需搜索如何在互联网上购买比特币。我们的建议是这些网站。

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/zh-CN/<<

----

恢复文件的保证是什么？

这只是一项业务。除了获得利益，我们绝对不关心您和您的交易。如果我们不做我们的工作和责任 - 没有人会与我们合作。这不符合我们的利益。

要检查返回文件的能力，您可以向我们发送任何 2 个具有简单扩展名（jpg、xls、doc 等...不是数据库！）和小尺寸（最大 1 mb）的文件，我们将解密它们并发回给你。

这是我们的保证。

----

怎么联系你？

或通过电子邮件联系我们：>>godgood55@tutanota.com<< 或 >>alexgod5566@xyzmailpro.com<<

----

付款后的付款流程如何？

付款后，我们会将解密工具连同指南一起发送给您，我们将陪伴您直到最后一个文件被解密。

----

如果我不付钱给你会怎样？

如果您不付钱给我们，您将永远无法访问您的文件，因为私钥只在我们手中。这笔交易对我们来说并不重要，

但这对您很重要，因为您不仅无法访问您的文件，而且还会浪费时间。时间越久，失去的就越多

如果你不支付赎金，我们以后会再次攻击你的公司。

----

你有什么建议？

- 永远不要更改文件的名称，如果您想操作这些文件，请确保对它们进行备份。如果文件有问题，我们概不负责。

- 永远不要与中介公司合作，因为他们向你收取更多的钱。比如我们问你50000块钱，他们会告诉你55000块钱。不要害怕我们，只要打电话给我们。

----

很重要！对于那些拥有针对勒索软件攻击的网络保险的人。

保险公司要求你对你的保险信息保密，这就是永远不支付合同规定的最高金额或根本不支付，扰乱谈判。

保险公司将竭尽所能破坏谈判，以便他们以后可以争辩说您将被拒绝承保，因为您的保险不包括赎金金额。

例如，您的公司投保了 1000 万美元，在与您的保险代理人就赎金进行谈判时，他将向我们提供尽可能低的金额，例如 10 万美元，

我们将拒绝微不足道的金额，例如要求 1500 万美元的金额，保险代理人绝不会向我们提供您保险的最高门槛 1000 万美元。

他会不惜一切代价破坏谈判，拒绝全额赔付我们，让你一个人解决你的问题。如果您匿名告诉我们您的公司投保了 1000 万美元和其他

关于保险范围的重要细节，我们不会要求与保险代理人通信超过 1000 万美元。这样你就可以避免泄漏并解密你的信息。

但由于鬼鬼祟祟的保险代理人故意谈判不支付保险索赔，因此在这种情况下只有保险公司获胜。为了避免这一切并获得保险金，

请务必匿名告知我们有关保险范围的可用性和条款，这对您和我们都有好处，但对保险公司没有好处。可怜的百万富翁保险公司不会

饿死不会因为支付了合同规定的最高金额而变得更穷，因为谁都知道合同比钱贵，所以让他们满足条件

由于我们的互动，您的保险合同中有规定。

---------------------------------------------- ---------------------------------------------- ---------------------------------------------- ---------------------------------------------- ------

你的身份证 ：

你的钥匙：'