意图何在？勒索团伙在索要赎金的同时，也不忘支持印度农民的抗议

近日，一种名为Sarbloh的新型勒索软件正在通过恶意Word文档进行传播。与其他勒索软件不同，这些Word文档除了勒索信息外，还包含支持印度农民抗议的政治信息。农业法案引发争议，印度农民愤怒抗议。众所周知，印度是世界粮食生产大国，拥有世界1/10的耕地。而且，印度的农村人口占总人口的72%。但印度农业投资比重逐年下降，农民负债状况日趋严峻。这使得农业问题成为印度亟待解决的重要矛盾。去年，为推动印度农业市场化，印度总理纳伦德拉莫迪在没有与农民和农民协会等主要利益相关方协商的情况下，于2020年11月强行通过了三项农业市场化法案。对于印度农民来说，改革方案将影响他们的生计，因为他们的土地、农产品的销售以及许多农民赖以生存的政府农业补贴都会受到影响。此外，他们担心他们的农业业务会被新的农业企业吞并。面对法案的威胁和对未知事物的恐惧，印度农民很快发起了波及全国的示威活动。1月下旬，还发生了大规模的拖拉机抗议活动。许多抗议的农民赶到市中心，开着拖拉机前往德里的政治地标红堡。农民团体在红堡广场前的旗杆上插旗，与警方对峙。抗议期间，一小群驾驶拖拉机的抗议农民违反约定的抗议路线，与警方发生冲突。一名农民在冲突中丧生，包括警察在内的至少数百人受伤。发生如此骇人听闻的事件后，印度政府与农民的对峙更加紧张，双方的矛盾也更加难以化解。但除了加强对话协商，似乎没有出路。农民抗议活动也成为莫迪总理在2021年面临的最重要挑战。勒索软件支持农民抗议活动。什么目的？在国内农民抗议活动一片混乱之际，一种新的勒索软件也瞄准了印度。一种名为Sarbloh的新型勒索软件正在通过包含支持印度农民的政治信息的恶意Word文档传播。目前尚不清楚恶意Word文档是通过网络钓鱼电子邮件还是其他方式发送的，但在打开时，系统会提示用户“启用内容”以正确查看其内容。当按下按钮时，Word文档宏将使用bitsadmin.exe下载一个名为putty.exe的文件到Documents文件夹中，然后执行它。执行后，勒索软件会加密计算机上与特定文件类型匹配的文件，并将.sarbloh附加到文件名。例如，文件1.jpg将被加密并重命名为1.jpg.sarbloh。计算机上的文件被加密后，会创建一个名为README_SARBLOH.txt的赎金票据，其中包含支持印度农民的消息。赎金条的翻译如下：“你的文件不见了！除非满足农民的要求，否则它们不会恢复。他们怎么了？我们使用军用级加密，你系统上的所有文件都被销毁了。印度，锡克教徒长期以来一直是反对他们压迫的实践者。我们每次反抗。今天你正在扼杀印度教徒、锡克教徒和穆斯林农民的喉咙，试图夺走他们的生计。你的阴险手段不会得逞。卡尔萨双剑（东正教，锡克教的地区是信仰）将随时被拔出。Tyaarbartyaar。我们的鲜血洒在哪里，锡克教之树就会从那里生根。如果你对农民的意图是纯粹的，你想帮助他们，这不是方式。HalemiRaj，SikhRaj，不是这样。如果法律不被废除，你的命运将与Khalsa对Sirhind（印度的一个地区）所做的不同。WaheguruJiKaKhalsa，WaheguruJiKiFatehKhalsaCyberFauj”从勒索字条可以看出这次攻击是它与印度的锡克教密切相关。此外，勒索软件的名称“Sarbloh”似乎也与一本名为SarblohGranth的书有关。这本书与锡克教经文有关。锡克教是15世纪末起源于印度旁遮普邦的一神教，以《古鲁·格兰特·萨希卜》为经典。目前全世界有2500万信徒，其中大部分居住在印度旁遮普邦。锡克教的主要教义如下：信奉真神的真名笃信一神论，相信上帝是独一无二的，全知全能，是宇宙万物的创造者，公平仁慈。主张在上帝面前人人平等，反对种姓分离和对妇女的歧视。因果轮回论认为，人只有依靠神明的庇佑和祖师的指引才能解脱。尊重族长，视其为神的使者，相信族长的预言。族长享有至高无上的权力，继承权由前任指定为继承人。反对祭祀制度和偶像崇拜，提倡简化礼仪，朝拜圣地，积极参与人间。单从这个教义来看，这个宗教与印度大多数人信奉的印度教（包括种姓制度）有明显的矛盾。事实上，锡克教确实与印度政府发生过多次冲突。印度政府迫害它，宗教也抵制政府。他们之间的关系并不融洽。无法看出这件事是真正的锡克教徒为了反抗印度政府而做的，还是有人借这个宗教的名义挑起更深层次的冲突；也很难看出，以这种方式支持印度农民，是真的想帮助他们保护自己的权利，还是想破坏印度农民这次行动的正义性；他们是在试图引起公众的注意，还是在破坏印度的和平？这一切都还没有定论。最后，Sarbloh基于一种名为KhalsaCrypt的开源勒索软件。不过，与其他勒索软件不同的是，Sarbloh并没有删除卷影复制服务，因此有可能通过卷影恢复文件，这意味着受害者有可能在不支付赎金的情况下恢复文件。这是黑客的疏忽，还是故意留下的通道，不得而知。目前，印度农民的抗议活动并未停止。该组织可能有后续活动，对其真实目的的猜测还需进一步深入研究才能知晓。参考资料：bleepingcomputer