Sarbloh Ransomware
Infosec-onderzoekers hebben een nieuwe ransomware-stam ontdekt die de computers van gebruikers heeft geïnfecteerd. De naam van de dreiging is Sarbloh en het lijkt erop dat deze is gebaseerd op de open-source KhalsaCrypt Ransomware. De hackers die verantwoordelijk zijn voor Sarbloh lijken de malwarebedreiging te gebruiken als een politiek platform om hun steun te betuigen aan de Indiase boeren die protesteren tegen de 'Indiase landbouwwetten van 2020', een reeks wetten die door de Indiase regering zijn aangenomen. Het woord Sarbloh zelf is hoogstwaarschijnlijk ontleend aan een boek met geschriften over het sikhisme dat 'Sarbloh Granth' wordt genoemd.
Het probleem met cybercriminelen die niet financieel gemotiveerd zijn, is dat ze geen reden hebben om hun slachtoffers methoden te bieden om de gecodeerde gegevens te herstellen. Meestal bieden de hackers ook geen communicatiekanalen om contact met hen op te nemen. Dit is precies de hachelijke situatie waarin de slachtoffers van Sarbloh Ransomware zich bevinden.
Hoewel de exacte distributiemethode onbekend blijft, hebben cyberbeveiligingsanalisten kunnen vaststellen dat Sarbloh Ransomware gebruikmaakt van bewapende Word-documenten. Het thema dat door de dreigende documenten wordt gebruikt als een haak om gebruikers ertoe te brengen ze te openen, is het protest van de Indiase boeren. Nadat het Word-bestand is uitgevoerd, wordt een prompt weergegeven waarin de nietsvermoedende gebruiker wordt aangespoord 'Inhoud inschakelen' om het document correct te bekijken. Hierdoor kan de bedreigende macro die in het Word-bestand is geïnjecteerd, een uitvoerbaar bestand met de naam 'putty.exe' downloaden door gebruik te maken van het opdrachtregelprogramma bitsadmin.exe. Het opgehaalde bestand wordt neergezet in de map Documenten van het geïnfecteerde systeem en vervolgens uitgevoerd.
Eenmaal geïmplementeerd, zal de Sarbloh Ransomware specifieke bestandstypen achterna gaan en deze versleutelen met een onkraakbaar cryptografisch algoritme. Gebruikers hebben geen toegang meer tot de vergrendelde bestanden. Bij elk versleuteld bestand wordt '.sarbloh' als nieuwe extensie aan de oorspronkelijke naam toegevoegd. Na voltooiing van het coderingsproces, zal de Sarbloh Ransomware zijn bericht neerzetten in een tekstbestand met de naam 'README_SARBLOH.txt.' De notitie bevat volledig de politieke opvattingen van de hackers en bevat geen instructies voor de getroffen gebruikers.
Slachtoffers die blijven worstelen om hun bestanden te herstellen in de nasleep van de Sarbloh Ransomware-infectie zouden blij moeten zijn te horen dat de dreiging de door het Windows-besturingssysteem gemaakte Shadow Volume Copies niet verwijdert. Houd er rekening mee dat de dreiging van de besmette computer moet worden verwijderd voordat er pogingen worden ondernomen om de gegevens te herstellen.
De volledige tekst van het bericht van Sarbloh Ransomware is:
'UW BESTANDEN ZIJN GEGAAN !!!
ZE ZULLEN NIET TERUGGEVONDEN ZIJN TOTDAT AAN DE EISEN VAN DE LANDBOUWERS IS VOLDAANWAT IS ER MET HUN GEBEURT?
Door EnCryPtiOn van militaire kwaliteit te gebruiken, zijn alle bestanden op uw systeem onbruikbaar gemaakt.Sikhs zijn in India lange tijd het gezicht geweest tegen de onderdrukking die hen werd opgelegd.
Elke keer hebben we ons verzet.
Vandaag kom je voor de strot van hindoeïstische, sikh- en moslimboeren door te proberen hun brood te verdienen.
Je zult niet slagen op je sinistere manieren.
Het tweezijdige zwaard van de Khalsa valt op elk moment op. Tyaar bar tyaar.
Overal waar ons bloed wordt vergoten, ontwortelt de boom van Sikhi daarvandaan.
Als uw bedoelingen voor de boer puur zijn en
je wilt ze helpen, dit is niet de manier.
Halemi Raj, Sikh Raj, was niet zo.Als de wetten niet worden ingetrokken. Je lot is nee
anders dan wat de Khalsa Sirhind aandeed.Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh
Khalsa Cyber Fauj. '
