Sarbloh ransomware

Los investigadores de Infosec han descubierto una nueva cepa de ransomware que ha estado infectando las computadoras de los usuarios. El nombre de la amenaza es Sarbloh y parece que se basa en KhalsaCrypt Ransomware de código abierto. Los piratas informáticos responsables de Sarbloh parecen estar utilizando la amenaza de malware como plataforma política para expresar su apoyo a los agricultores indios que protestan por las 'leyes agrícolas indias de 2020', un conjunto de leyes aprobadas por el gobierno indio. La palabra Sarbloh en sí misma probablemente se haya tomado de un libro de escrituras relacionado con el sijismo que se llama "Sarbloh Granth".

El problema con los ciberdelincuentes que no están motivados económicamente es que no tienen ninguna razón para proporcionar a sus víctimas ningún método para restaurar los datos cifrados. Por lo general, los piratas informáticos tampoco proporcionan ningún canal de comunicación que se pueda utilizar para contactarlos. Esta es exactamente la situación en la que se encuentran las víctimas de Sarbloh Ransomware.

Aunque el método de distribución exacto sigue siendo desconocido, los analistas de ciberseguridad han podido determinar que Sarbloh Ransomware utiliza documentos de Word armados. El tema que utilizan los documentos amenazantes como gancho para que los usuarios los abran es la protesta de los agricultores indios. Una vez ejecutado, el archivo de Word mostrará un mensaje instando al usuario desprevenido a "Habilitar contenido" para ver el documento correctamente. Si lo hace, permitirá que la macro amenazante inyectada en el archivo de Word descargue un ejecutable llamado 'putty.exe' mediante la explotación de la herramienta de línea de comandos bitsadmin.exe. El archivo obtenido se colocará en la carpeta Documentos del sistema infectado y luego se ejecutará.

Una vez implementado, Sarbloh Ransomware buscará tipos de archivos específicos y los cifrará con un algoritmo criptográfico indescifrable. Los usuarios ya no podrán acceder a los archivos bloqueados. Cada archivo cifrado tendrá '.sarbloh' adjunto a su nombre original como una nueva extensión. Una vez finalizado el proceso de cifrado, Sarbloh Ransomware colocará su mensaje dentro de un archivo de texto llamado 'README_SARBLOH.txt'. La nota consta de las opiniones políticas de los piratas informáticos en su totalidad y carece de instrucciones para los usuarios afectados.

Las víctimas que se quedan luchando por restaurar sus archivos a raíz de la infección de Sarbloh Ransomware deberían alegrarse de saber que la amenaza no elimina las instantáneas de volumen creadas por el sistema operativo Windows. Tenga en cuenta que la amenaza debe eliminarse de la computadora comprometida antes de que se inicie cualquier intento de restaurar los datos.

El texto completo del mensaje de Sarbloh Ransomware es:

¡¡¡SUS ARCHIVOS SE HAN IDO !!!
NO SERÁN RECUPERABLES HASTA QUE SE HAYAN CUMPLIDO LAS DEMANDAS DE LOS AGRICULTORES

¿QUE LES PASÓ A ELLOS?
Usando EnCryPtiOn de grado militar, todos los archivos de su sistema se han vuelto inútiles.

India, los sijs han sido durante mucho tiempo el rostro contra la opresión que se les impuso.
Cada vez que nos hemos resistido.
Hoy vienes por las gargantas de los granjeros hindúes, sij y musulmanes tratando de quitarles su sustento.
No tendrás éxito en tus siniestros caminos.
La espada de dos caras del Khalsa se notará en cualquier momento. Tyaar bar tyaar.
Dondequiera que se derrame nuestra sangre, el árbol de Sikhi arranca de allí.
Si sus intenciones para el agricultor son puras y
desea ayudarlos, este no es el camino.
Halemi Raj, Sikh Raj, no era así.

Si las leyes no se derogan. Tu destino es no
diferente a lo que el Khalsa le hizo a Sirhind.

Waheguru Ji Ka Khalsa, Waheguru Ji Ki Fateh

Khalsa Cyber Fauj '.