21.11.2016 10:00

Wystarczy kliknięcie, żeby wirus z Facebooka zaszyfrował dysk

Dostaliście od znajomych zdjęcie w dziwnym formacie? Nie otwierajcie go – to wirus, który będzie w stanie zaszyfrować dane na Waszych dyskach. Ostrzeżcie osoby, od których dostaliście wiadomość z plikiem infekującym komputery – mogą stracić dostęp do swoich komputerów.

Wystarczy kliknięcie, żeby wirus z Facebooka zaszyfrował dysk
foto: materiały prasowe

Przestępcom po raz kolejny udało się obejść zabezpieczenia Facebooka. Groźne złośliwe oprogramowanie rozsyła się właśnie udając zdjęcie otrzymane od znajomych. Osoby, które próbowały go otworzyć, zamiast fotki otrzymywały jednak wirusa.

Atakowane są komputery pracujące pod kontrolą Windows, MacOS X oraz Linuksa.

Obecnie znane są dwa scenariusze ataku – nie jest wykluczone, że przestępcy używają większej liczby metod mających doprowadzić do zaintalowania malware, wymagana jest więc wzmożona czujność i ostrożność.

Jak można zarazić się wirusem na Facebooku?

Najbardziej rozpowszechniony jest atak wysyłający do znajomych osoby, której komputer został zainfekowany, wiadomości składającej się tylko z nazwy pliku graficznego. Ma on taki format:

photo_XXXX.svg

W miejscu XXXX występuje losowy ciąg cyfr. Format .svg – grafiki wektorowej – nie został wybrany przypadkowo, jego specyfikacje pozwalają umieścić w nim prosty program. Próba obejrzenia obrazka powoduje uruchomienie złośliwej aplikacji.

W przypadku przeglądarki Chrome przenosi ona użytkownika na witrynę podszywającą się pod serwis YouTube, informując przy tym o konieczności zainstalowania zaktualizowanych kodeków wideo, żeby móc obejrzeć film. Jeśli użytkownik się zgodzi, w jego przeglądarce instalowany jest wyjątkowo złośliwe rozszerzenie, potrafiące zapobiegać usunięciu poprzez blokowanie dostępu do umożliwiających to opcji.

foto: zrzut ekranu

Rozszerzenie otrzymuje uprawnienia pozwalające na pobieranie i modyfikację danych z każdej strony internetowej, która jest przeglądana – dzięki temu przestępcy mogliby na przykład przechwycić dane dysponowanego w banku przelewu i zmienić numer konta docelowego oraz kwotę – użytkownik dowiedziałby się o tym dopiero widząc historię swojego rachunku.

Zdecydowanie gorszy los czeka osoby korzystające z innych przeglądarek internetowych – jak wynika z raportów specjalistów, zamiast szpiegującej wtyczki instalowany jest wirus Locky, szyfrujący pliki na dysku i żądający okupu za przywrócenie do nich dostępu.

Z tego powodu należy natychmiast ostrzec wszystkich znajomych, którzy korzystają z Facebooka za pomocą przeglądarek innej niż Chrome – wystarczy jedno kliknięcie, żeby nie odzyskali już wszystkich plików znajdujących się na dysku ich komputera.

Drugim sposobem rozprzestrzeniania się jest rozsyłanie wiadomości z załącznikiem o następującej nawie:

Video XXXXX

Podobnie jak w przypadku zdjęcia, w miejscu „X” występują losowe cyfry. Tym razem omijany jest etap przekierowania na fałszywą witrynę YouTube – wtyczka bądź ransomware instalowana jest od razu po kliknięciu na plik i wyrażeniu zgody przez użytkownika.

Jak uchronić się przed wirusem na Facebooku?

Sposób jest prosty – nie należy otwierać ani zapisywać pliku udającego obrazek i film wideo. Ta porada dotyczy wszystkich podejrzanych plików otrzymywanych od znajomych, jako że ta metoda dystrybucji złośliwego oprogramowania jest bardzo chętnie stosowana przez przestępców.

Jeśli otrzymaliśmy wiadomość od znajomego, napisaną po angielsku lub łamaną polszczyzną - powinno się to wydać podejrzane i dobrze jest skontaktować się z nim innym kanałem niż przez Facebooka, żeby upewnić się, czy rzeczywiście oni byli autorami informacji.

Szczególną podejrzliwość powinny wzbudzać otrzymywane bez uprzedzenia pliki lub odnośniki do nieznajomych stron - w takim przypadku można mieć niemal pewność, że znajomy padł ofiarą wirusa i go ostrzec.

Jak usunąć wirusa z Facebooka?

Jeśli kliknęliście na fałszywym obrazku, a następnie zgodziliście się na zainstalowanie „kodeka wideo”, jego usunięcie będzie wymagać trochę pracy – nie da się tego zrobić z poziomu opcji samej przeglądarki.

Pierwszą czynnością do wykonania jest zlokalizowanie katalogu, w którym przechowywane są pliki przeglądarki. W zależności od systemu operacyjnego, powinno to być:

  • Windows 7, 8.1, 10 - C:\Users\nazwa_użyktkownika\AppData\Local\Google\Chrome\User Data\Default
  • Mac OS X El Capitan - Users/nazwa_użytkownika/Library/Application Support/Google/Chrome/Default
  • Linux - /home/nazwa_użytkownika/.config/google-chrome/default

Po odnalezieniu katalogu należy wyłączyć przeglądarkę. Gdy Chrome już nie działa, trzeba wejść do katalogu „Extensions” – powinien znajdować się w nim katalog o takiej nazwie:

„jegjfinhocnmomhpgmnbjambmgbifjbg”

Jeśli jest – należy go ręcznie wykasować. Jeśli nie – należy sprawdzić, jakie ostatnie podkatalogi były tworzone w folderze „Extensions” patrząc na daty utworzenia – jeśli znajdzie się wpis powstały w momencie, w którym kliknięto na wirusa, najprawdopodobniej jest to właśnie złośliwe rozszerzenie, które należy usunąć.

Jeśli mieliście komputer zainfekowany tym wirusem, rozsądnie będzie także zmienić hasła do wszystkich witryn, które w międzyczasie odwiedziliście.

Otrzymaliście takie „zdjęcie” w wiadomości na Facebooku?

Michał Tomaszkiewicz
Tagi: #Facebook #Internet