HardBit 2.0 勒索軟件

HardBit 於 2022 年 10 月首次被發現，是一種針對企業和組織而開發的勒索軟件威脅，勒索受害者以加密貨幣的形式付款以解密其數據。這種威脅性軟件已經演變為第二個版本 HardBit 2.0，該版本於 2022 年 11 月底被觀察到，並在 2022 年下半年及以後繼續傳播。該勒索軟件的運行方式與其他現代變體類似，它會在滲透到網絡後立即收集敏感數據，然後再啟動其有效負載以加密系統上的所有文件。惡意軟件專家在一份報告中發布了有關威脅及其破壞能力的詳細信息。

HardBit 2.0 要求受害者提供網絡安全保險詳情

與許多其他勒索軟件網絡團伙不同， HardBit的運營商沒有專門的洩漏站點，這意味著受害者不會受到公開披露其盜用數據的威脅。然而，如果他們的要求得不到滿足，該組織確實威脅要發動進一步襲擊。

要聯繫 HardBit 處理程序，受害者必須使用惡意軟件威脅中包含的預定義贖金票據。本說明鼓勵受害者通過電子郵件或 Tox 即時消息平台與他們聯繫，就他們應該為解密密鑰支付多少比特幣進行協商。除此之外，那些擁有網絡保險政策的人被要求分享細節，以便他們的需求可以相應地調整。

HardBit 2.0 勒索軟件刪除備份並破壞設備的安全

為了避免在受害者的沙箱環境中被分析，HardBit 勒索軟件利用基於 Web 的企業管理和 Windows Management Instrumentation (WMI) 功能收集有關受害者主機的信息。勒索軟件獲取各種系統詳細信息，例如已安裝的硬件組件、網絡適配器設置以及 IP 配置和 MAC 地址、系統製造商和 BIOS 版本、用戶名和計算機名稱以及時區信息。

為了在加密文件上建立品牌標識，勒索軟件有效負載將自定義 HardBit 文件圖標放入受害者的文檔文件夾中。此外，勒索軟件在 Windows 註冊表中註冊了一個類，將文件擴展名“.hardbit2”與放置的圖標相關聯。

作為大多數現代勒索軟件威脅所採用的常見策略，HardBit 採取了多種預加密措施來降低受害主機的安全態勢。例如，使用服務控制管理器刪除卷影複製服務 (VSS) 以防止恢復工作。 Windows 備份實用程序目錄連同任何卷影副本也被刪除，以阻止任何恢復嘗試。

為了避免檢測和破壞勒索軟件進程，通過一系列 Windows 註冊表更改禁用了各種 Windows Defender 防病毒功能。這些禁用的功能包括篡改保護、反間諜軟件功能、實時行為監控、實時訪問保護和實時進程掃描。

為確保每次系統重新啟動時 HardBit 勒索軟件有效負載自動運行，勒索軟件的一個版本被複製到受害者的“啟動”文件夾中。如果此文件不存在，可執行文件將重命名為模仿合法服務主機可執行文件“svchost.exe”以避免被檢測到。

加密過程和 HardBit 2.0 勒索軟件的需求

在確定受害者機器上的可用驅動器和卷後，HardBit 勒索軟件有效負載會掃描已識別的目錄和文件，以查明要加密的任何數據。已選擇進行加密的文件將被打開，然後被覆蓋，這是一種用來阻礙恢復工作的策略。使用此技術而不是將加密數據寫入新文件並刪除原始文件，這是一種不太複雜的方法。

一旦文件被加密，它們就會被重命名為一個看似隨機的文件名，後跟一個標識符，其中包括聯繫電子郵件地址“threatactor@example.tld”和“.hardbit2”文件擴展名。此外，純文本贖金票據和 HTML 應用程序 (HTA) 贖金票據被寫入驅動器根目錄和所有包含加密文件的文件夾。這些贖金票據提供了有關如何支付贖金和接收解密密鑰的說明。

完成加密過程後，圖像文件將保存在受害者的桌面上並設置為系統牆紙。

HardBit 2.0勒索軟件的要求文本是：

'¦¦¦¦¦HARDBIT 勒索軟件¦¦¦¦¦

----

發生了什麼？

您的所有文件都已被盜，然後被加密。不過別擔心，一切都是安全的，都會還給你的。

----

我怎樣才能取回我的文件？

你必須付錢給我們才能取回文件。我們沒有銀行或貝寶賬戶，您只需通過比特幣向我們付款。

----

我如何購買比特幣？

您可以從世界上所有信譽良好的網站購買比特幣並將它們發送給我們。只需搜索如何在互聯網上購買比特幣。我們的建議是這些網站。

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/zh-CN/<<

----

恢復文件的保證是什麼？

這只是一項業務。除了獲得利益，我們絕對不關心您和您的交易。如果我們不做我們的工作和責任 - 沒有人會與我們合作。這不符合我們的利益。

要檢查返回文件的能力，您可以向我們發送任何 2 個具有簡單擴展名（jpg、xls、doc 等...不是數據庫！）和小尺寸（最大 1 mb）的文件，我們將解密它們並發回給你。

這是我們的保證。

----

怎麼聯繫你？

或通過電子郵件聯繫我們：>>godgood55@tutanota.com<< 或 >>alexgod5566@xyzmailpro.com<<

----

付款後的付款流程如何？

付款後，我們會將解密工具連同指南一起發送給您，我們將陪伴您直到最後一個文件被解密。

----

如果我不付錢給你會怎樣？

如果您不付錢給我們，您將永遠無法訪問您的文件，因為私鑰只在我們手中。這筆交易對我們來說並不重要，

但這對您很重要，因為您不僅無法訪問您的文件，而且還會浪費時間。時間越久，失去的就越多

如果你不支付贖金，我們以後會再次攻擊你的公司。

----

你有什麼建議？

- 永遠不要更改文件的名稱，如果您想操作這些文件，請確保對它們進行備份。如果文件有問題，我們概不負責。

- 永遠不要與中介公司合作，因為他們向你收取更多的錢。比如我們問你50000塊錢，他們會告訴你55000塊錢。不要害怕我們，只要打電話給我們。

----

很重要！對於那些擁有針對勒索軟件攻擊的網絡保險的人。

保險公司要求你對你的保險信息保密，這就是永遠不支付合同規定的最高金額或根本不支付，擾亂談判。

保險公司將竭盡所能破壞談判，以便他們以後可以爭辯說您將被拒絕承保，因為您的保險不包括贖金金額。

例如，您的公司投保了 1000 萬美元，在與您的保險代理人就贖金進行談判時，他將向我們提供盡可能低的金額，例如 10 萬美元，

我們將拒絕微不足道的金額，例如要求 1500 萬美元的金額，保險代理人絕不會向我們提供您保險的最高門檻 1000 萬美元。

他會不惜一切代價破壞談判，拒絕全額賠付我們，讓你一個人解決你的問題。如果您匿名告訴我們您的公司投保了 1000 萬美元和其他

關於保險範圍的重要細節，我們不會要求與保險代理人通信超過 1000 萬美元。這樣你就可以避免洩漏並解密你的信息。

但由於鬼鬼祟祟的保險代理人故意談判不支付保險索賠，因此在這種情況下只有保險公司獲勝。為了避免這一切並獲得保險金，

請務必匿名告知我們有關保險範圍的可用性和條款，這對您和我們都有好處，但對保險公司沒有好處。可憐的百萬富翁保險公司不會

餓死不會因為支付了合同規定的最高金額而變得更窮，因為誰都知道合同比錢貴，所以讓他們滿足條件

由於我們的互動，您的保險合同中有規定。

---------------------------------------------- ---------------------------------------------- ---------------------------------------------- ---------------------------------------------- ------

你的身份證 ：

你的鑰匙：'