Sarbloh Ransomware

I ricercatori di Infosec hanno scoperto un nuovo ceppo di ransomware che ha infettato i computer degli utenti. Il nome della minaccia è Sarbloh e sembra che sia basato sull'open source KhalsaCrypt Ransomware. Gli hacker responsabili di Sarbloh sembrano utilizzare la minaccia malware come piattaforma politica per esprimere il loro sostegno agli agricoltori indiani che protestano contro gli "atti dell'agricoltura indiana del 2020", una serie di leggi approvate dal governo indiano. La parola stessa Sarbloh è molto probabilmente presa da un libro di scritture legate al Sikhismo chiamato "Sarbloh Granth".

Il problema con i criminali informatici che non sono finanziariamente motivati è che non hanno motivo di fornire alcun metodo alle loro vittime per ripristinare i dati crittografati. Di solito, gli hacker non forniscono nemmeno alcun canale di comunicazione che possa essere utilizzato per contattarli. Questa è esattamente la situazione in cui si trovano le vittime di Sarbloh Ransomware.

Sebbene il metodo di distribuzione esatto rimanga sconosciuto, gli analisti della sicurezza informatica sono stati in grado di determinare che Sarbloh Ransomware utilizza documenti Word armati. Il tema utilizzato dai documenti minacciosi come gancio per convincere gli utenti ad aprirli è la protesta dei contadini indiani. Una volta eseguito, il file di Word visualizzerà un messaggio che invita l'utente ignaro ad "Abilita contenuto" per visualizzare correttamente il documento. Ciò consentirà alla macro minacciosa iniettata nel file di Word di scaricare un eseguibile denominato "putty.exe" sfruttando lo strumento della riga di comando bitsadmin.exe. Il file recuperato verrà rilasciato nella cartella Documenti del sistema infetto e quindi eseguito.

Una volta distribuito, Sarbloh Ransomware cercherà tipi di file specifici e li crittograferà con un algoritmo crittografico non crackabile. Gli utenti non saranno più in grado di accedere ai file bloccati. Ogni file crittografato avrà ".sarbloh" allegato al nome originale come nuova estensione. Al termine del processo di crittografia, Sarbloh Ransomware lascerà cadere il suo messaggio all'interno di un file di testo denominato "README_SARBLOH.txt." La nota è costituita interamente dalle opinioni politiche degli hacker e manca di istruzioni per gli utenti interessati.

Le vittime che sono rimaste a rimescolare per ripristinare i propri file sulla scia dell'infezione di Sarbloh Ransomware dovrebbero essere felici di sapere che la minaccia non elimina le copie shadow del volume create dal sistema operativo Windows. Tieni presente che la minaccia deve essere rimossa dal computer infetto prima di avviare qualsiasi tentativo di ripristino dei dati.

Il testo completo del messaggio di Sarbloh Ransomware è:

'I TUOI FILE SONO ANDATI !!!
NON SARANNO RECUPERABILI FINO A CHE LE RICHIESTE DEGLI AGRICOLTORI NON SARANNO SODDISFATTE

COSA È ACCADUTO A LORO?
Utilizzando EnCryPtiOn di livello militare tutti i file sul sistema sono stati resi inutilizzabili.

India, i sikh sono stati a lungo il volto contro l'oppressione posta su di loro.
Ogni volta che abbiamo resistito.
Oggi vieni per la gola stessa dei contadini indù, sikh e musulmani cercando di prendersi il loro sostentamento.
Non avrai successo nei tuoi modi sinistri.
La spada a due facce del Khalsa è in qualsiasi momento notato. Tyaar bar tyaar.
Ovunque venga versato il nostro sangue, l'albero di Sikhi si sradica da lì.
Se le tue intenzioni per l'agricoltore sono pure e
desideri aiutarli, non è questo il modo.
Halemi Raj, Sikh Raj, non era così.

Se le leggi non vengono abrogate. Il tuo destino è no
diverso da quello che ha fatto il Khalsa a Sirhind.

Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh

Khalsa Cyber Fauj. "