Sarbloh Ransomware
Os pesquisadores de Infosec descobriram um novo tipo de ransomware que infecta os computadores dos usuários. O nome da ameaça é Sarbloh e parece que se baseia no KhalsaCrypt Ransomware de código aberto. Os hackers responsáveis por Sarbloh parecem estar usando a ameaça de malware como uma plataforma política para expressar seu apoio aos fazendeiros indianos que protestam contra os 'atos de agricultura indiana de 2020', um conjunto de leis aprovadas pelo governo indiano. A própria palavra Sarbloh é provavelmente tirada de um livro de escrituras relacionado ao Sikhismo que é chamado de 'Sarbloh Granth'.
O problema com os cibercriminosos sem motivação financeira é que eles não têm motivo para fornecer nenhum método para que suas vítimas restaurem os dados criptografados. Normalmente, os hackers também não fornecem canais de comunicação que possam ser usados para contatá-los. Esta é exatamente a situação em que as vítimas do Sarbloh Ransomware se encontram.
Embora o método de distribuição exato permaneça desconhecido, os analistas de segurança cibernética foram capazes de determinar que o Sarbloh Ransomware usa documentos do Word como arma. O tema usado pelos documentos ameaçadores como gancho para que os usuários os abram é o protesto dos fazendeiros indianos. Uma vez executado, o arquivo do Word exibirá um prompt pedindo ao usuário desavisado para 'Ativar Conteúdo' para visualizar o documento corretamente. Isso permitirá que a macro ameaçadora injetada no arquivo do Word baixe um executável chamado 'putty.exe', explorando a ferramenta de linha de comando bitsadmin.exe. O arquivo obtido será colocado na pasta Documentos do sistema infectado e executado.
Uma vez implantado, o Sarbloh Ransomware irá atrás de tipos de arquivos específicos e os criptografará com um algoritmo criptográfico indecifrável. Os usuários não poderão mais acessar os arquivos bloqueados. Cada arquivo criptografado terá '.sarbloh' anexado ao seu nome original como uma nova extensão. Após a conclusão do processo de criptografia, o Sarbloh Ransomware deixará sua mensagem dentro de um arquivo de texto chamado 'README_SARBLOH.txt.' A nota consiste inteiramente nas visões políticas dos hackers e não contém instruções para os usuários afetados.
As vítimas que lutam para restaurar seus arquivos após a infecção do Sarbloh Ransomware devem ficar felizes em saber que a ameaça não exclui as Cópias do Shadow Volume criadas pelo sistema operacional Windows. Lembre-se de que a ameaça deve ser removida do computador comprometido antes que qualquer tentativa de restauração dos dados seja iniciada.
O texto completo da mensagem do Sarbloh Ransomware é:
'SEUS ARQUIVOS FORAM !!!
NÃO SERÃO RECUPERÁVEIS ATÉ QUE AS EXIGÊNCIAS DOS AGRICULTORES SEJAM ATENDIDASO QUE ACONTECEU COM ELES?
Usando o EnCryPtiOn de nível militar, todos os arquivos em seu sistema se tornaram inúteis.Na Índia, os sikhs há muito tempo são o rosto contra a opressão que lhes é imposta.
Cada vez que resistimos.
Hoje você vem para as gargantas dos fazendeiros hindus, sikhs e muçulmanos, tentando tirar seu sustento.
Você não terá sucesso em seus caminhos sinistros.
A espada de dois lados do Khalsa é notada a qualquer momento. Tyaar bar tyaar.
Onde quer que nosso sangue seja derramado, a árvore de Sikhi se desenraiza de lá.
Se suas intenções para com o fazendeiro são puras e
você deseja ajudá-los, este não é o caminho.
Halemi Raj, Sikh Raj, não era assim.Se as leis não forem revogadas. Seu destino é não
diferente do que o Khalsa fez com Sirhind.Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh
Khalsa Cyber Fauj. '
