보안정보

Sarbloh로 알려진 새로운 랜섬웨어가 파일을 암호화하는 동시에 인도 농부들의 시위를 지지하는 메시지를 전달하는 것으로 나타났다. 

 

작년 인도 정부는 '인도 2020년 농업 법'으로 불리는 새로운 법안을 통과시켰다. 이 법안이 인도 농업의 현대화를 위해 필요하고 정부는 말했다.

 

하지만, 인도 농부들은 이 새로운 법안이 그들의 생계를 위협할 것이며, 이 법안이 농부들이 생산한 작물들을 판매하는 수단을 제한함으로써 농부들의 수익 창출을 어렵게 할 것으로 보았다. 2020년 11월 이후부터 수 천명에 달하는 인도 농부들이 뉴델리에서 시위를 진행해왔다.

 

 

[그림 1. 악성 워드 문서]

 

 

Malwarebytes, Cyble, QuickHeal, Sarbloh로 잘 알려진 새로운 랜섬웨어가 인도 농부들의 시위를 지지하는 정치적인 메시지를 포함하는 악성 word 문서를 통해 배포되고 있다. 이 악성 문서가 피싱 이메일 혹은 다른 경로로 전파되었는지 알 수 없으나 문서를 열면 콘텐츠를 올바르게 보기 위해 'Enable Content' 라는 메시지가 뜨게 된다. 

 

 

[그림 2. Sarbloh로 암호화 된 파일들]

 

 

해당 버튼을 누르면 putty[.]exe 파일이 Document 폴더에 다운로드 되고 실행된다. 실행되면 랜섬웨어가 PC안에 있는 특정 유형의 파일들을 암호화하고 파일 끝 부분에 '[.]sarbloh'를 추가한다. 예를 들어 1[.]jpg 파일은 1[.]jpg[.]sarbloh 파일이 된다. 컴퓨터 파일이 암호화 되면 인도 농부들의 시위를 지지하는 문구가 포함된 README_SARBLOH[.]txt 라는 랜섬 노트가 생성된다.

 

이 랜섬웨어의 이름은 인도 펀자이 지방에서 발전한 종교인 시크교의 경전의 이름인 'Sarbloh Granth'에서 따온 것으로 보여진다. 악성코드 분석가 Michael Gillespie에 따르면 Sarbloh는 약점이 없는 것으로 알려진 랜섬웨어 KhalsaCrypt의 오픈 소스를 기반으로 만들었다. 하지만, 다른 랜섬웨어와 다르게 Sarbloh는 Shadow 볼륨 복사본을 제거하지 않으므로 Shadow 볼륨을 통해 파일을 복구할 수 있다.

 

 

출처 

https://www.bleepingcomputer.com/news/security/new-sarbloh-ransomware-supports-indian-farmers-protest/

https://ko.wikipedia.org/wiki/%EC%8B%9C%ED%81%AC%EA%B5%90