近期，一款名為Sarbloh的新勒索軟件正在通過惡意Word文檔進(jìn)行傳播。與其他勒索軟件不同的是，這些Word文檔除了顯示贖金信息還包含了有關(guān)支持印度農(nóng)民抗議的政治信息。

[[386442]]

農(nóng)業(yè)法案引爭議，印度農(nóng)民憤然抗議

眾所周知，印度是世界糧食生產(chǎn)大國，擁有世界1/10的可耕地。并且，印度農(nóng)村人口占總?cè)丝诒壤哌_(dá)72%。然而，印度農(nóng)業(yè)的投資比例卻逐年下降，農(nóng)民的負(fù)債情況日益嚴(yán)峻。這就使農(nóng)業(yè)問題成為了印度亟待解決的重要矛盾。

去年，印度總理莫迪為了推動印度農(nóng)業(yè)市場化，在缺少與農(nóng)民、農(nóng)會等主要利益相關(guān)者協(xié)商的情況下，強(qiáng)行于2020年11月通過了農(nóng)業(yè)市場化的三項法案。

對于印度農(nóng)民而言，該項改革方案將會對他們的土地、農(nóng)產(chǎn)品出售以及眾多農(nóng)民所依賴的政府農(nóng)業(yè)補(bǔ)助造成沖擊，從而影響其生計。此外，他們還擔(dān)心自身的農(nóng)業(yè)事業(yè)會被新興的農(nóng)業(yè)企業(yè)所吞噬。

面對著法案的威脅以及對未知的恐懼，印度農(nóng)民很快發(fā)起了示威活動并蔓延至全國各地。

在1月下旬，還舉行了一場大規(guī)模的拖拉機(jī)抗議。不少抗議的農(nóng)民沖到了市中心，將拖拉機(jī)開到了德里具有政治標(biāo)志性的建筑紅堡，農(nóng)民團(tuán)體將旗幟插在紅堡廣場前的旗桿上，并與警察對峙。

抗議中，一小批開拖拉機(jī)的抗議農(nóng)民違反約定好的抗議路線，與警方爆發(fā)沖突，一名農(nóng)民在沖突中死亡，包括警察在內(nèi)的至少數(shù)百人受傷。

在發(fā)生如此觸目驚心的事件之后，印度政府與農(nóng)民間的對峙更加緊張，雙方的矛盾變得更難化解。但除了加強(qiáng)對話和協(xié)商之外，似乎沒有別的出路。

此次農(nóng)民抗議事件也成為了總理莫迪2021年面對的最重要的挑戰(zhàn)。

勒索軟件支持農(nóng)民抗議，意欲何為?

在國內(nèi)發(fā)生農(nóng)民抗議陷入混亂之時，一款新的勒索軟件也盯上了印度。

一種名為Sarbloh的新型勒索軟件正在通過惡意Word文檔進(jìn)行傳播，這些文檔中包含了支持印度農(nóng)民的政治信息。

目前尚不清楚該惡意Word文檔是通過釣魚郵件還是其他方式發(fā)送的，但當(dāng)打開該文檔時，會提示用戶 "啟用內(nèi)容 "以正確查看其內(nèi)容。

當(dāng)按下該按鈕后，Word文檔的宏會用bitsadmin.exe下載一個名為putty.exe的文件到Documents文件夾中，然后執(zhí)行。

執(zhí)行后，該勒索軟件會對電腦上符合某些文件類型的文件進(jìn)行加密，并在文件名后附加.sarbloh。例如，文件1.jpg會被加密并重命名為1.jpg.sarbloh。

電腦上的文件被加密后，將創(chuàng)建一個名為README_SARBLOH.txt的贖金說明，而這其中就包含了支持印度農(nóng)民的信息。

將贖金說明翻譯之后可得到如下信息：

從贖金說明可以看出此次攻擊與印度的錫克教息息相關(guān)。

此外，該勒索軟件的名字”Sarbloh”似乎也是由名為Sarbloh Granth的書籍有關(guān)。該書籍為錫克教經(jīng)典有關(guān)。

錫克教是15世紀(jì)末發(fā)源自印度旁遮普邦的一神教，以《古魯·格蘭特·薩希卜》為經(jīng)典。目前在全世界有2500萬教徒，大部分錫克教徒居住在印度旁遮普邦。

錫克教的主要教義如下：

• 信奉真神“真名”嚴(yán)格信仰一神論，認(rèn)為神是唯一的、是全知全能的，是宇宙萬物的締造者，是公正而仁慈的。
• 主張在神的面前人人平等，反對種姓分離與歧視婦女。
• 信仰業(yè)報輪回說，人要靠神的惠顧和祖師的指導(dǎo)才得以解脫。
• 尊崇祖師，將其奉為神的使者，并信奉祖師的預(yù)言，祖師享有無上的權(quán)力，其傳承是由前任指定自己的繼承者。
• 反對祭祀制度與偶像崇拜，主張簡化禮儀，朝拜圣地，積極入世。

單從該教義來看，此宗教與印度大部分民眾信仰的印度教(包含種姓制度)有著明顯的矛盾。事實上，錫克教確實與印度政府有過多次沖突，印度政府對其發(fā)起過迫害，該宗教也對政府做出過反抗，彼此關(guān)系并不和諧。

此次事件無法看出是真實的錫克教徒為了反抗印度政府所為，還是有人假借此宗教的名義挑起更深的矛盾;也很難看出以這種方式支持印度農(nóng)民究竟是真的想要幫助他們維護(hù)其權(quán)益，還是為了破壞印度農(nóng)民此次行為的正義性;是為了激起民眾的重視還是破壞印度國內(nèi)的和平?這一切目前為止都沒有定論。

最后，Sarbloh是基于被稱為KhalsaCrypt的開源勒索軟件。然而，與其他勒索軟件不同的是，Sarbloh不會刪除卷影復(fù)制服務(wù)，因此可能可以通過卷影恢復(fù)文件，也就是說受害者有不支付贖金就能恢復(fù)文件的可能。這是黑客的疏忽還是其故意留下的通道，不得而知。

目前，印度農(nóng)民的抗議活動仍舊沒有停止。該組織也許還會有后續(xù)活動，其真實目的的推測需要之后更深入的研究才能知曉。

參考：bleepingcomputer