近期，一款名為Sarbloh的新勒索軟件正在通過(guò)惡意Word文檔進(jìn)行傳播。與其他勒索軟件不同的是，這些Word文檔除了顯示贖金信息還包含了有關(guān)支持印度農(nóng)民抗議的政治信息。

[[386442]]

農(nóng)業(yè)法案引爭(zhēng)議，印度農(nóng)民憤然抗議

眾所周知，印度是世界糧食生產(chǎn)大國(guó)，擁有世界1/10的可耕地。并且，印度農(nóng)村人口占總?cè)丝诒壤哌_(dá)72%。然而，印度農(nóng)業(yè)的投資比例卻逐年下降，農(nóng)民的負(fù)債情況日益嚴(yán)峻。這就使農(nóng)業(yè)問(wèn)題成為了印度亟待解決的重要矛盾。

去年，印度總理莫迪為了推動(dòng)印度農(nóng)業(yè)市場(chǎng)化，在缺少與農(nóng)民、農(nóng)會(huì)等主要利益相關(guān)者協(xié)商的情況下，強(qiáng)行于2020年11月通過(guò)了農(nóng)業(yè)市場(chǎng)化的三項(xiàng)法案。

對(duì)于印度農(nóng)民而言，該項(xiàng)改革方案將會(huì)對(duì)他們的土地、農(nóng)產(chǎn)品出售以及眾多農(nóng)民所依賴的政府農(nóng)業(yè)補(bǔ)助造成沖擊，從而影響其生計(jì)。此外，他們還擔(dān)心自身的農(nóng)業(yè)事業(yè)會(huì)被新興的農(nóng)業(yè)企業(yè)所吞噬。

面對(duì)著法案的威脅以及對(duì)未知的恐懼，印度農(nóng)民很快發(fā)起了示威活動(dòng)并蔓延至全國(guó)各地。

在1月下旬，還舉行了一場(chǎng)大規(guī)模的拖拉機(jī)抗議。不少抗議的農(nóng)民沖到了市中心，將拖拉機(jī)開到了德里具有政治標(biāo)志性的建筑紅堡，農(nóng)民團(tuán)體將旗幟插在紅堡廣場(chǎng)前的旗桿上，并與警察對(duì)峙。

抗議中，一小批開拖拉機(jī)的抗議農(nóng)民違反約定好的抗議路線，與警方爆發(fā)沖突，一名農(nóng)民在沖突中死亡，包括警察在內(nèi)的至少數(shù)百人受傷。

在發(fā)生如此觸目驚心的事件之后，印度政府與農(nóng)民間的對(duì)峙更加緊張，雙方的矛盾變得更難化解。但除了加強(qiáng)對(duì)話和協(xié)商之外，似乎沒(méi)有別的出路。

此次農(nóng)民抗議事件也成為了總理莫迪2021年面對(duì)的最重要的挑戰(zhàn)。

勒索軟件支持農(nóng)民抗議，意欲何為?

在國(guó)內(nèi)發(fā)生農(nóng)民抗議陷入混亂之時(shí)，一款新的勒索軟件也盯上了印度。

一種名為Sarbloh的新型勒索軟件正在通過(guò)惡意Word文檔進(jìn)行傳播，這些文檔中包含了支持印度農(nóng)民的政治信息。

目前尚不清楚該惡意Word文檔是通過(guò)釣魚郵件還是其他方式發(fā)送的，但當(dāng)打開該文檔時(shí)，會(huì)提示用戶 "啟用內(nèi)容 "以正確查看其內(nèi)容。

當(dāng)按下該按鈕后，Word文檔的宏會(huì)用bitsadmin.exe下載一個(gè)名為putty.exe的文件到Documents文件夾中，然后執(zhí)行。

執(zhí)行后，該勒索軟件會(huì)對(duì)電腦上符合某些文件類型的文件進(jìn)行加密，并在文件名后附加.sarbloh。例如，文件1.jpg會(huì)被加密并重命名為1.jpg.sarbloh。

電腦上的文件被加密后，將創(chuàng)建一個(gè)名為README_SARBLOH.txt的贖金說(shuō)明，而這其中就包含了支持印度農(nóng)民的信息。

將贖金說(shuō)明翻譯之后可得到如下信息：

從贖金說(shuō)明可以看出此次攻擊與印度的錫克教息息相關(guān)。

此外，該勒索軟件的名字”Sarbloh”似乎也是由名為Sarbloh Granth的書籍有關(guān)。該書籍為錫克教經(jīng)典有關(guān)。

錫克教是15世紀(jì)末發(fā)源自印度旁遮普邦的一神教，以《古魯·格蘭特·薩希卜》為經(jīng)典。目前在全世界有2500萬(wàn)教徒，大部分錫克教徒居住在印度旁遮普邦。

錫克教的主要教義如下：

• 信奉真神“真名”嚴(yán)格信仰一神論，認(rèn)為神是唯一的、是全知全能的，是宇宙萬(wàn)物的締造者，是公正而仁慈的。
• 主張?jiān)谏竦拿媲叭巳似降?，反?duì)種姓分離與歧視婦女。
• 信仰業(yè)報(bào)輪回說(shuō)，人要靠神的惠顧和祖師的指導(dǎo)才得以解脫。
• 尊崇祖師，將其奉為神的使者，并信奉祖師的預(yù)言，祖師享有無(wú)上的權(quán)力，其傳承是由前任指定自己的繼承者。
• 反對(duì)祭祀制度與偶像崇拜，主張簡(jiǎn)化禮儀，朝拜圣地，積極入世。

單從該教義來(lái)看，此宗教與印度大部分民眾信仰的印度教(包含種姓制度)有著明顯的矛盾。事實(shí)上，錫克教確實(shí)與印度政府有過(guò)多次沖突，印度政府對(duì)其發(fā)起過(guò)迫害，該宗教也對(duì)政府做出過(guò)反抗，彼此關(guān)系并不和諧。

此次事件無(wú)法看出是真實(shí)的錫克教徒為了反抗印度政府所為，還是有人假借此宗教的名義挑起更深的矛盾;也很難看出以這種方式支持印度農(nóng)民究竟是真的想要幫助他們維護(hù)其權(quán)益，還是為了破壞印度農(nóng)民此次行為的正義性;是為了激起民眾的重視還是破壞印度國(guó)內(nèi)的和平?這一切目前為止都沒(méi)有定論。

最后，Sarbloh是基于被稱為KhalsaCrypt的開源勒索軟件。然而，與其他勒索軟件不同的是，Sarbloh不會(huì)刪除卷影復(fù)制服務(wù)，因此可能可以通過(guò)卷影恢復(fù)文件，也就是說(shuō)受害者有不支付贖金就能恢復(fù)文件的可能。這是黑客的疏忽還是其故意留下的通道，不得而知。

目前，印度農(nóng)民的抗議活動(dòng)仍舊沒(méi)有停止。該組織也許還會(huì)有后續(xù)活動(dòng)，其真實(shí)目的的推測(cè)需要之后更深入的研究才能知曉。

參考：bleepingcomputer