Ένα νέο ransomware, γνωστό ως Sarbloh, κρυπτογραφεί τα αρχεία των θυμάτων του και αφήνει ένα ιδιαίτερο μήνυμα, πολιτικού περιεχομένου. Συγκεκριμένα είναι ένα μήνυμα υποστήριξης στους Ινδούς αγρότες και στις διαμαρτυρίες τους.
Πέρυσι, η ινδική κυβέρνηση ενέκρινε ένα νέο σύνολο νόμων, που σύμφωνα με την κυβέρνηση είναι απαραίτητοι για τον εκσυγχρονισμό της γεωργικής βιομηχανίας.
Ωστόσο, οι αγρότες πιστεύουν ότι αυτοί οι νέοι νόμοι θα τους βλάψουν οικονομικά και θα καταστήσουν πιο δύσκολη τη δημιουργία εσόδων, καθώς φέρνουν κάποιες αλλαγές που σχετίζονται με το πώς οι αγρότες μπορούν να πουλήσουν τα αγαθά τους και σε τι τιμή.
Από το Νοέμβριο του 2020, χιλιάδες Ινδοί αγρότες διαμαρτύρονται για τη νέα νομοθεσία.
Οι χειριστές του νέου ransomware Sarbloh είναι στο πλευρό των Ινδών αγροτών
Εταιρείες ασφαλείας, όπως οι Malwarebytes, Cyble και QuickHeal, ανακάλυψαν ένα νέο ransomware γνωστό ως “Sarbloh”, το οποίο διανέμεται μέσω κακόβουλων εγγράφων του Word.
Προς το παρόν, οι ερευνητές δεν γνωρίζουν εάν το κακόβουλο έγγραφο του Word αποστέλλεται μέσω phishing emails ή άλλης μεθόδου, αλλά όταν ανοιχτεί, ζητά από τους χρήστες να “Ενεργοποιήσουν το περιεχόμενο“.
Αν οι χρήστες κάνουν ενεργοποίηση περιεχομένου, οι μακροεντολές του εγγράφου Word θα κατεβάσουν ένα αρχείο που ονομάζεται putty.exe (χρησιμοποιώντας το bitsadmin.exe) στο φάκελο “Έγγραφα” και στη συνέχεια θα γίνει εκτέλεση του αρχείου.
Όταν γίνει η εκτέλεση, το Sarbloh ransomware θα κρυπτογραφήσει αρχεία στον υπολογιστή και θα προσθέσει την επέκταση .sarbloh στο όνομα του αρχείου.
Μετά την κρυπτογράφηση, θα εμφανιστεί ένα σημείωμα λύτρων που ονομάζεται README_SARBLOH.txt.
Σύμφωνα με στοιχεία, το σημείωμα, μεταξύ άλλων, λέει τα εξής:
“ΤΑ ΑΡΧΕΙΑ ΣΑΣ ΕΧΟΥΝ ΧΑΘΕΙ!!!
ΔΕΝ ΘΑ ΑΝΑΚΤΗΘΟΥΝ ΜΕΧΡΙ ΝΑ ΙΚΑΝΟΠΟΙΗΘΟΥΝ ΤΑ ΑΙΤΗΜΑΤΑ ΤΩΝ ΑΓΡΟΤΩΝ
ΤΙ ΣΥΝΕΒΗ?
Με τη χρήση του EnCryPtiOn όλα τα αρχεία στο σύστημά σας έχουν γίνει άχρηστα“.
Στη συνέχεια, το σημείωμα εξηγεί, με έναν ιδιαίτερο τρόπο, ότι οι Ινδοί αγρότες πρέπει να βοηθηθούν.
Το ransomware φαίνεται να πήρε το όνομά του από το “Sarbloh Granth“, ένα βιβλίο με γραφές που σχετίζονται με τον Σιχισμό.
Σύμφωνα με τον Michael Gillespie, το Sarbloh βασίζεται σε ransomware ανοιχτού κώδικα, που είναι γνωστό ως KhalsaCrypt και είναι αρκετά ισχυρό.
Ωστόσο, σε αντίθεση με άλλα ransomware, το Sarbloh δεν αφαιρεί τα shadow volume copies, επομένως μπορεί να είναι δυνατή η ανάκτηση αρχείων μέσω αυτών.
Πηγή: Bleeping Computer