近期，一款名为Sarbloh的新勒索软件正在通过恶意Word文档进行传播。与其他勒索软件不同的是，这些Word文档除了显示赎金信息还包含了有关支持印度农民抗议的政治信息。

农业法案引争议，印度农民愤然抗议

众所周知，印度是世界粮食生产大国，拥有世界1/10的可耕地。并且，印度农村人口占总人口比例高达72%。然而，印度农业的投资比例却逐年下降，农民的负债情况日益严峻。这就使农业问题成为了印度亟待解决的重要矛盾。

去年，印度总理莫迪为了推动印度农业市场化，在缺少与农民、农会等主要利益相关者协商的情况下，强行于2020年11月通过了农业市场化的三项法案。

对于印度农民而言，该项改革方案将会对他们的土地、农产品出售以及众多农民所依赖的政府农业补助造成冲击，从而影响其生计。此外，他们还担心自身的农业事业会被新兴的农业企业所吞噬。

面对着法案的威胁以及对未知的恐惧，印度农民很快发起了示威活动并蔓延至全国各地。

在1月下旬，还举行了一场大规模的拖拉机抗议。不少抗议的农民冲到了市中心，将拖拉机开到了德里具有政治标志性的建筑红堡，农民团体将旗帜插在红堡广场前的旗杆上，并与警察对峙。

抗议中，一小批开拖拉机的抗议农民违反约定好的抗议路线，与警方爆发冲突，一名农民在冲突中死亡，包括警察在内的至少数百人受伤。

在发生如此触目惊心的事件之后，印度政府与农民间的对峙更加紧张，双方的矛盾变得更难化解。但除了加强对话和协商之外，似乎没有别的出路。

此次农民抗议事件也成为了总理莫迪2021年面对的最重要的挑战。

勒索软件支持农民抗议，意欲何为?

在国内发生农民抗议陷入混乱之时，一款新的勒索软件也盯上了印度。

一种名为Sarbloh的新型勒索软件正在通过恶意Word文档进行传播，这些文档中包含了支持印度农民的政治信息。

目前尚不清楚该恶意Word文档是通过钓鱼邮件还是其他方式发送的，但当打开该文档时，会提示用户 "启用内容 "以正确查看其内容。

当按下该按钮后，Word文档的宏会用bitsadmin.exe下载一个名为putty.exe的文件到Documents文件夹中，然后执行。

执行后，该勒索软件会对电脑上符合某些文件类型的文件进行加密，并在文件名后附加.sarbloh。例如，文件1.jpg会被加密并重命名为1.jpg.sarbloh。

电脑上的文件被加密后，将创建一个名为README_SARBLOH.txt的赎金说明，而这其中就包含了支持印度农民的信息。

将赎金说明翻译之后可得到如下信息：

从赎金说明可以看出此次攻击与印度的锡克教息息相关。

此外，该勒索软件的名字”Sarbloh”似乎也是由名为Sarbloh Granth的书籍有关。该书籍为锡克教经典有关。

锡克教是15世纪末发源自印度旁遮普邦的一神教，以《古鲁·格兰特·萨希卜》为经典。目前在全世界有2500万教徒，大部分锡克教徒居住在印度旁遮普邦。

锡克教的主要教义如下：

• 信奉真神“真名”严格信仰一神论，认为神是唯一的、是全知全能的，是宇宙万物的缔造者，是公正而仁慈的。
• 主张在神的面前人人平等，反对种姓分离与歧视妇女。
• 信仰业报轮回说，人要靠神的惠顾和祖师的指导才得以解脱。
• 尊崇祖师，将其奉为神的使者，并信奉祖师的预言，祖师享有无上的权力，其传承是由前任指定自己的继承者。
• 反对祭祀制度与偶像崇拜，主张简化礼仪，朝拜圣地，积极入世。

单从该教义来看，此宗教与印度大部分民众信仰的印度教(包含种姓制度)有着明显的矛盾。事实上，锡克教确实与印度政府有过多次冲突，印度政府对其发起过迫害，该宗教也对政府做出过反抗，彼此关系并不和谐。

此次事件无法看出是真实的锡克教徒为了反抗印度政府所为，还是有人假借此宗教的名义挑起更深的矛盾;也很难看出以这种方式支持印度农民究竟是真的想要帮助他们维护其权益，还是为了破坏印度农民此次行为的正义性;是为了激起民众的重视还是破坏印度国内的和平?这一切目前为止都没有定论。

最后，Sarbloh是基于被称为KhalsaCrypt的开源勒索软件。然而，与其他勒索软件不同的是，Sarbloh不会删除卷影复制服务，因此可能可以通过卷影恢复文件，也就是说受害者有不支付赎金就能恢复文件的可能。这是黑客的疏忽还是其故意留下的通道，不得而知。

目前，印度农民的抗议活动仍旧没有停止。该组织也许还会有后续活动，其真实目的的推测需要之后更深入的研究才能知晓。

参考：bleepingcomputer