近期，一款名為Sarbloh的新勒索軟件正在通過惡意Word文檔進行傳播。與其他勒索軟件不同的是，這些Word文檔除了顯示贖金信息還包含了有關支持印度農民抗議的政治信息。

[[386442]]

農業法案引爭議，印度農民憤然抗議

眾所周知，印度是世界糧食生產大國，擁有世界1/10的可耕地。并且，印度農村人口占總人口比例高達72%。然而，印度農業的投資比例卻逐年下降，農民的負債情況日益嚴峻。這就使農業問題成為了印度亟待解決的重要矛盾。

去年，印度總理莫迪為了推動印度農業市場化，在缺少與農民、農會等主要利益相關者協商的情況下，強行于2020年11月通過了農業市場化的三項法案。

對于印度農民而言，該項改革方案將會對他們的土地、農產品出售以及眾多農民所依賴的政府農業補助造成沖擊，從而影響其生計。此外，他們還擔心自身的農業事業會被新興的農業企業所吞噬。

面對著法案的威脅以及對未知的恐懼，印度農民很快發起了示威活動并蔓延至全國各地。

在1月下旬，還舉行了一場大規模的拖拉機抗議。不少抗議的農民沖到了市中心，將拖拉機開到了德里具有政治標志性的建筑紅堡，農民團體將旗幟插在紅堡廣場前的旗桿上，并與警察對峙。

抗議中，一小批開拖拉機的抗議農民違反約定好的抗議路線，與警方爆發沖突，一名農民在沖突中死亡，包括警察在內的至少數百人受傷。

在發生如此觸目驚心的事件之后，印度政府與農民間的對峙更加緊張，雙方的矛盾變得更難化解。但除了加強對話和協商之外，似乎沒有別的出路。

此次農民抗議事件也成為了總理莫迪2021年面對的最重要的挑戰。

勒索軟件支持農民抗議，意欲何為?

在國內發生農民抗議陷入混亂之時，一款新的勒索軟件也盯上了印度。

一種名為Sarbloh的新型勒索軟件正在通過惡意Word文檔進行傳播，這些文檔中包含了支持印度農民的政治信息。

目前尚不清楚該惡意Word文檔是通過釣魚郵件還是其他方式發送的，但當打開該文檔時，會提示用戶 "啟用內容 "以正確查看其內容。

當按下該按鈕后，Word文檔的宏會用bitsadmin.exe下載一個名為putty.exe的文件到Documents文件夾中，然后執行。

執行后，該勒索軟件會對電腦上符合某些文件類型的文件進行加密，并在文件名后附加.sarbloh。例如，文件1.jpg會被加密并重命名為1.jpg.sarbloh。

電腦上的文件被加密后，將創建一個名為README_SARBLOH.txt的贖金說明，而這其中就包含了支持印度農民的信息。

將贖金說明翻譯之后可得到如下信息：

從贖金說明可以看出此次攻擊與印度的錫克教息息相關。

此外，該勒索軟件的名字”Sarbloh”似乎也是由名為Sarbloh Granth的書籍有關。該書籍為錫克教經典有關。

錫克教是15世紀末發源自印度旁遮普邦的一神教，以《古魯·格蘭特·薩希卜》為經典。目前在全世界有2500萬教徒，大部分錫克教徒居住在印度旁遮普邦。

錫克教的主要教義如下：

• 信奉真神“真名”嚴格信仰一神論，認為神是唯一的、是全知全能的，是宇宙萬物的締造者，是公正而仁慈的。
• 主張在神的面前人人平等，反對種姓分離與歧視婦女。
• 信仰業報輪回說，人要靠神的惠顧和祖師的指導才得以解脫。
• 尊崇祖師，將其奉為神的使者，并信奉祖師的預言，祖師享有無上的權力，其傳承是由前任指定自己的繼承者。
• 反對祭祀制度與偶像崇拜，主張簡化禮儀，朝拜圣地，積極入世。

單從該教義來看，此宗教與印度大部分民眾信仰的印度教(包含種姓制度)有著明顯的矛盾。事實上，錫克教確實與印度政府有過多次沖突，印度政府對其發起過迫害，該宗教也對政府做出過反抗，彼此關系并不和諧。

此次事件無法看出是真實的錫克教徒為了反抗印度政府所為，還是有人假借此宗教的名義挑起更深的矛盾;也很難看出以這種方式支持印度農民究竟是真的想要幫助他們維護其權益，還是為了破壞印度農民此次行為的正義性;是為了激起民眾的重視還是破壞印度國內的和平?這一切目前為止都沒有定論。

最后，Sarbloh是基于被稱為KhalsaCrypt的開源勒索軟件。然而，與其他勒索軟件不同的是，Sarbloh不會刪除卷影復制服務，因此可能可以通過卷影恢復文件，也就是說受害者有不支付贖金就能恢復文件的可能。這是黑客的疏忽還是其故意留下的通道，不得而知。

目前，印度農民的抗議活動仍舊沒有停止。該組織也許還會有后續活動，其真實目的的推測需要之后更深入的研究才能知曉。

參考：bleepingcomputer