Sarbloh Ransomware
Les chercheurs d'Infosec ont découvert une nouvelle souche de ransomware qui infecte les ordinateurs des utilisateurs. Le nom de la menace est Sarbloh et il semble qu'elle soit basée sur le logiciel open source KhalsaCrypt Ransomware. Les pirates informatiques responsables de Sarbloh semblent utiliser la menace des logiciels malveillants comme plate-forme politique pour exprimer leur soutien aux agriculteurs indiens qui protestent contre les `` lois agricoles indiennes de 2020 '', un ensemble de lois adoptées par le gouvernement indien. Le mot Sarbloh lui-même est très probablement tiré d'un livre d'écritures liées au sikhisme appelé «Sarbloh Granth».
Le problème avec les cybercriminels qui ne sont pas motivés financièrement est qu'ils n'ont aucune raison de fournir des méthodes à leurs victimes pour restaurer les données cryptées. Habituellement, les pirates informatiques ne fournissent pas non plus de canaux de communication pouvant être utilisés pour les contacter. C'est exactement la situation difficile dans laquelle se trouvent les victimes de Sarbloh Ransomware.
Bien que la méthode de distribution exacte reste inconnue, les analystes en cybersécurité ont pu déterminer que Sarbloh Ransomware utilise des documents Word militarisés. Le thème utilisé par les documents menaçants comme crochet pour inciter les utilisateurs à les ouvrir est la protestation des agriculteurs indiens. Une fois exécuté, le fichier Word affichera une invite invitant l'utilisateur sans méfiance à «Activer le contenu» pour afficher le document correctement. Cela permettra à la macro menaçante injectée dans le fichier Word de télécharger un exécutable nommé «putty.exe» en exploitant l'outil de ligne de commande bitsadmin.exe. Le fichier récupéré sera déposé dans le dossier Documents du système infecté puis exécuté.
Une fois déployé, le Sarbloh Ransomware recherchera des types de fichiers spécifiques et les chiffrera avec un algorithme cryptographique incassable. Les utilisateurs ne pourront plus accéder aux fichiers verrouillés. Chaque fichier crypté aura «.sarbloh» attaché à son nom d'origine en tant que nouvelle extension. À la fin du processus de cryptage, le Sarbloh Ransomware déposera son message dans un fichier texte nommé «README_SARBLOH.txt». La note se compose entièrement des opinions politiques des pirates informatiques et ne contient aucune instruction pour les utilisateurs concernés.
Les victimes qui se démènent pour restaurer leurs fichiers à la suite de l'infection de Sarbloh Ransomware devraient être heureuses d'apprendre que la menace ne supprime pas les copies Shadow Volume créées par le système d'exploitation Windows. Gardez à l'esprit que la menace doit être supprimée de l'ordinateur compromis avant toute tentative de restauration des données.
Le texte complet du message de Sarbloh Ransomware est:
«VOS FICHIERS SONT DISPARUS !!!
ILS NE SERONT PAS RÉCUPÉRABLES JUSQU'À CE QUE LES DEMANDES DES AGRICULTEURS ONT ÉTÉ RÉALISÉESQUE LEUR EST-IL ARRIVÉ?
En utilisant EnCryPtiOn de qualité militaire, tous les fichiers de votre système sont devenus inutiles.En Inde, les sikhs sont depuis longtemps le visage contre l'oppression qui leur est imposée.
À chaque fois, nous avons résisté.
Aujourd'hui, vous venez pour la gorge même des fermiers hindous, sikhs et musulmans en essayant de prendre leur gagne-pain.
Vous ne réussirez pas de vos manières sinistres.
L'épée à deux faces du Khalsa est à tout moment remarquée. Tyaar bar tyaar.
Partout où notre sang est répandu, l'arbre de Sikhi en déracine.
Si vos intentions pour le fermier sont pures et
vous souhaitez les aider, ce n'est pas ainsi.
Halemi Raj, Sikh Raj, n'était pas de cette façon.Si les lois ne sont pas abrogées. Ton destin est non
différent de ce que le Khalsa a fait à Sirhind.Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh
Khalsa Cyber Fauj. '
