Программа-вымогатель Sarbloh
Исследователи Infosec обнаружили новый штамм вымогателей, заражающий компьютеры пользователей. Имя угрозы - Sarbloh, и похоже, что она основана на программе-вымогателе KhalsaCrypt с открытым исходным кодом. Хакеры, ответственные за Sarbloh, похоже, используют угрозу вредоносного ПО как политическую платформу, чтобы выразить свою поддержку индийским фермерам, протестующим против «индийских законов о сельском хозяйстве 2020 года» - свода законов, принятых правительством Индии. Само слово Сарбло, скорее всего, взято из книги Священных Писаний, относящейся к сикхизму, которая называется «Сарбло Грант».
Проблема с киберпреступниками, которые не имеют финансовой мотивации, заключается в том, что у них нет причин предоставлять своим жертвам какие-либо методы для восстановления зашифрованных данных. Обычно хакеры также не предоставляют никаких каналов связи, по которым можно было бы связаться с ними. Именно в таком затруднительном положении оказываются жертвы Sarbloh Ransomware.
Хотя точный метод распространения остается неизвестным, аналитики по кибербезопасности смогли определить, что Sarbloh Ransomware использует документы Word, вооруженные оружием. Тема, используемая угрожающими документами как приманка, чтобы заставить пользователей их открыть, - это протест индийских фермеров. После выполнения файл Word отобразит подсказку, призывающую ничего не подозревающего пользователя «Включить содержимое» для правильного просмотра документа. Это позволит угрожающему макросу, введенному в файл Word, загрузить исполняемый файл с именем «putty.exe», используя инструмент командной строки bitsadmin.exe. Полученный файл будет помещен в папку «Документы» зараженной системы и затем запущен.
После развертывания Sarbloh Ransomware будет искать определенные типы файлов и шифровать их с помощью не поддающегося взлому криптографического алгоритма. Пользователи больше не смогут получить доступ к заблокированным файлам. К каждому зашифрованному файлу будет добавлено расширение .sarbloh к его исходному имени в качестве нового расширения. По завершении процесса шифрования программа-вымогатель Sarbloh сбросит свое сообщение в текстовый файл с именем README_SARBLOH.txt. Заметка полностью отражает политические взгляды хакеров и не содержит каких-либо инструкций для затронутых пользователей.
Жертвы, которым после заражения Sarbloh Ransomware пришлось изо всех сил пытаться восстановить свои файлы, должны быть счастливы услышать, что угроза не удаляет теневые копии томов, созданные ОС Windows. Помните, что угроза должна быть удалена со скомпрометированного компьютера до того, как будут инициированы попытки восстановления данных.
Полный текст сообщения Sarbloh Ransomware:
«ВАШИ ФАЙЛЫ УДАЛЕНЫ !!!
ОНИ НЕ БУДУТ ВОССТАНОВИТЬ ДО тех пор, пока ТРЕБОВАНИЯ ФЕРМЕРОВ НЕ БУДУТ ВЫПОЛНЕНЫ.ЧТО С НИМИ СЛУЧИЛОСЬ?
Используя EnCryPtiOn военного уровня, все файлы в вашей системе стали бесполезными.В Индии сикхи долгое время были лицом к лицу с наложенным на них угнетением.
Каждый раз мы сопротивлялись.
Сегодня вы попадаете в самую глотку индуистских, сикхских и мусульманских фермеров, пытаясь лишить их средств к существованию.
Вы не добьетесь успеха на своих коварных путях.
Двусторонний меч Хальсы заметен в любой момент. Тяар бар тяар.
Где бы ни пролилась наша кровь, дерево Сикхи вырывается с корнем.
Если ваши намерения относительно фермера чисты и
вы хотите им помочь, это не выход.
Халеми Радж, сикхский Радж, не был таким.Если законы не отменят. Твоя судьба нет
отличается от того, что Хальса сделала с Сирхиндом.Вахегуру Джи Ка Хальса, Вахегуру Джи Ки Фатех
Khalsa Cyber Fauj.
