Sarbloh Ransomware
Infosec-Forscher haben einen neuen Ransomware-Stamm entdeckt, der die Computer der Benutzer infiziert hat. Der Name der Bedrohung lautet Sarbloh und es scheint, dass sie auf der Open-Source-KhalsaCrypt-Ransomware basiert. Die für Sarbloh verantwortlichen Hacker scheinen die Malware-Bedrohung als politische Plattform zu nutzen, um ihre Unterstützung für die indischen Landwirte zum Ausdruck zu bringen, die gegen die "indischen Landwirtschaftsgesetze von 2020" protestieren, eine Reihe von Gesetzen, die von der indischen Regierung verabschiedet wurden. Das Wort Sarbloh selbst stammt höchstwahrscheinlich aus einem Buch mit Schriften zum Sikhismus, das den Namen "Sarbloh Granth" trägt.
Das Problem bei Cyberkriminellen, die nicht finanziell motiviert sind, besteht darin, dass sie keinen Grund haben, ihren Opfern Methoden zur Wiederherstellung der verschlüsselten Daten bereitzustellen. Normalerweise stellen die Hacker auch keine Kommunikationskanäle zur Verfügung, über die sie kontaktiert werden können. Dies ist genau die Situation, in der sich Opfer von Sarbloh Ransomware befinden.
Obwohl die genaue Verteilungsmethode unbekannt ist, konnten Cybersicherheitsanalysten feststellen, dass Sarbloh Ransomware waffenfähige Word-Dokumente verwendet. Das Thema, das von den Drogendokumenten als Haken verwendet wird, um Benutzer zum Öffnen zu bewegen, ist der Protest der indischen Bauern. Nach der Ausführung wird in der Word-Datei eine Eingabeaufforderung angezeigt, in der der ahnungslose Benutzer aufgefordert wird, den Inhalt zu aktivieren, um das Dokument korrekt anzuzeigen. Auf diese Weise kann das in die Word-Datei eingefügte Bedrohungsmakro eine ausführbare Datei mit dem Namen 'putty.exe' herunterladen, indem das Befehlszeilentool bitsadmin.exe ausgenutzt wird. Die abgerufene Datei wird im Ordner "Dokumente" des infizierten Systems abgelegt und dann ausgeführt.
Nach der Bereitstellung sucht die Sarbloh Ransomware nach bestimmten Dateitypen und verschlüsselt sie mit einem nicht knackbaren kryptografischen Algorithmus. Benutzer können nicht mehr auf die gesperrten Dateien zugreifen. An jede verschlüsselte Datei wird '.sarbloh' als neue Erweiterung an ihren ursprünglichen Namen angehängt. Nach Abschluss des Verschlüsselungsprozesses legt die Sarbloh Ransomware ihre Nachricht in einer Textdatei mit dem Namen "README_SARBLOH.txt" ab. Der Hinweis besteht vollständig aus den politischen Ansichten der Hacker und enthält keine Anweisungen für die betroffenen Benutzer.
Opfer, die nach der Infektion mit Sarbloh Ransomware nicht mehr in der Lage sind, ihre Dateien wiederherzustellen, sollten sich darüber freuen, dass die Bedrohung die vom Windows-Betriebssystem erstellten Shadow Volume Copies nicht löscht. Beachten Sie, dass die Bedrohung vom gefährdeten Computer entfernt werden muss, bevor Versuche zur Wiederherstellung der Daten eingeleitet werden.
Der vollständige Text der Nachricht von Sarbloh Ransomware lautet:
'IHRE DATEIEN SIND GEGANGEN !!!
SIE WERDEN NICHT WIEDERHERSTELLBAR, BIS DIE ANFORDERUNGEN DER BAUERN ERFÜLLT WURDENWAS IST MIT IHNEN PASSIERT?
Mit EnCryPtiOn in Militärqualität wurden alle Dateien auf Ihrem System unbrauchbar gemacht.Indien, Sikhs sind seit langem das Gesicht gegen die Unterdrückung, die ihnen auferlegt wurde.
Jedes Mal haben wir widerstanden.
Heute kommen Sie für die Kehlen von Hindu-, Sikh- und muslimischen Bauern, indem Sie versuchen, ihren Lebensunterhalt zu verdienen.
Du wirst auf deinen finsteren Wegen keinen Erfolg haben.
Das zweiseitige Schwert der Khalsa ist jederzeit zu bemerken. Tyaar Bar Tyaar.
Wo immer unser Blut vergossen wird, entwurzelt der Baum von Sikhi von dort.
Wenn Ihre Absichten für den Landwirt rein sind und
Wenn Sie ihnen helfen möchten, ist dies nicht der richtige Weg.
Halemi Raj, Sikh Raj, war nicht so.Wenn die Gesetze nicht aufgehoben werden. Dein Schicksal ist nein
anders als das, was der Khalsa Sirhind angetan hat.Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh
Khalsa Cyber Fauj. '
