Sarbloh Ransomware
Infosec-forskere har afdækket en ny ransomware-stamme, der har inficeret brugernes computere. Navnet på truslen er Sarbloh, og det ser ud til, at den er baseret på open source KhalsaCrypt Ransomware. De hackere, der er ansvarlige for Sarbloh, ser ud til at bruge malware-truslen som en politisk platform til at udtrykke deres støtte til de indiske landmænd, der protesterer mod 'indiske landbrugshandlinger fra 2020', et sæt love vedtaget af den indiske regering. Ordet Sarbloh selv er højst sandsynligt hentet fra en skriftbog relateret til sikhisme, der hedder 'Sarbloh Granth.'
Problemet med cyberkriminelle, der ikke er økonomisk motiverede, er, at de ikke har nogen grund til at give nogen metoder til deres ofre for at gendanne de krypterede data. Normalt leverer hackerne heller ikke nogen kommunikationskanaler, der kan bruges til at kontakte dem. Dette er præcis den knibe, som ofre for Sarbloh Ransomware finder sig selv.
Selvom den nøjagtige distributionsmetode forbliver ukendt, har cybersikkerhedsanalytikere været i stand til at fastslå, at Sarbloh Ransomware bruger våbeniserede Word-dokumenter. Temaet, der bruges af de truende dokumenter som en kroge for at få brugerne til at åbne dem, er protesten fra de indiske landmænd. Når den er udført, viser Word-filen en prompt, der opfordrer den intetanende bruger til at 'Aktivere indhold' for at se dokumentet korrekt. Dette gør det muligt for den truende makro, der er injiceret i Word-filen, at downloade en eksekverbar med navnet 'putty.exe' ved at udnytte kommandolinjeværktøjet bitsadmin.exe. Den hentede fil slettes i mappen Dokumenter på det inficerede system og udføres derefter.
Når den er implementeret, følger Sarbloh Ransomware efter specifikke filtyper og krypterer dem med en ikke-knækkelig kryptografisk algoritme. Brugere har ikke længere adgang til de låste filer. Hver krypterede fil vil have '.sarbloh' knyttet til sit oprindelige navn som en ny udvidelse. Efter afslutningen af krypteringsprocessen vil Sarbloh Ransomware slippe sin besked inde i en tekstfil med navnet 'README_SARBLOH.txt.' Noten består helt af hackernes politiske synspunkter og mangler instruktioner til de berørte brugere.
Ofre, der efterlades forvrænget for at gendanne deres filer i kølvandet på Sarbloh Ransomwares infektion, burde være glade for at høre, at truslen ikke sletter Shadow Volume Copies oprettet af Windows OS. Husk, at truslen skal fjernes fra den kompromitterede computer, før der startes ethvert forsøg på at gendanne dataene.
Den fulde tekst af Sarbloh Ransomwares besked er:
'DINE FILER ER BORT !!!
DE VIL IKKE GENDES TIL, BØRNES KRAV ER MØDETHVAD skete der med dem?
Brug af militær EnCryPtiOn alle filerne på dit system er gjort ubrugelige.Indien, sikher har længe været ansigtet mod undertrykkelsen over dem.
Hver gang har vi modstået.
I dag kommer du efter hindu-, sikh- og muslimske landmænds hals meget ved at forsøge at tage deres levebrød.
Du vil ikke få succes på dine uhyggelige måder.
Khalsas tosidede sværd er til enhver tid opmærksom. Tyaar bar tyaar.
Uanset hvor vores blod spildes, træder Sikhi's træ op derfra.
Hvis dine intentioner med landmanden er rene og
du ønsker at hjælpe dem, det er ikke sådan.
Halemi Raj, Sikh Raj, var ikke sådan.Hvis lovene ikke ophæves. Din skæbne er nej
anderledes end hvad Khalsa gjorde mod Sirhind.Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh
Khalsa Cyber Fauj. '
