Niebezpieczny wirus panuje na portalu społecznościowym facebook, zdjęcie wysyłane przez użytkowników posiada niebezpieczny skrypt. Informację na temat wirusa podał portal niebezpiecznik.pl, wraz z rozwiązaniem dla osób, które otworzyły zdjęcie z wiadomości.

 Jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Jak do tego dochodzi?

W trakcie rozmowy na Messengerze możecie otrzymać od znajomego takie “zdjęcie”:


Wszystkie przesyłane przez robaka złośliwe pliki póki co zawsze mają następującą postać nazwy: photo_XXXX.svg, sugerując tym samym, że są zdjęciem. Niestety, jest to plik .svg, który po pobraniu i uruchomieniu w przeglądarce ofiary uruchamia skrypt.

Wynikiem działania skryptu jest przekierowanie ofiary najpierw na adres hxxp://govahoyuge.itup.pw/php/trust.php, a potem na losowe subdomeny wedle poniższego formatu:

hxxp://ecadutaro.yadozalamom.pw/oseboma.html
hxxp://mitobeb.yadozalamom.pw/fineboz.html
hxxp://ibaveh.yadozalamom.pw/urisur.html

Pod nimi kryje się fałszywa strona podszywająca się pod YouTube, która informuje ofiarę, że do zobaczenia filmu potrzebny jest odpowiedni “kodek video”:

…i uczynnie podstawia do pobrania złośliwy dodatek do przeglądarki. Dla przeglądarki Chrome jest to:

Dodatek, jak widać, zyskuje pełne uprawnienia do wszystkich otwieranych w przeglądarce stron i odpowiada za dalszą propagację ataku z kont ofiary, ale także wykradanie danych.


Otworzyłem zdjęcie — co robić, jak żyć?

Jeśli zainstalowałeś w swojej przeglądarce ten dodatek, nie będziesz w stanie go usunąć bezpośrednio z przeglądarki. Niestety, dodatek zamyka stronę z ustawieniami (starając się nie dopuścić do jego usunięcia). Dlatego dodatek trzeba usunąć ręcznie. Poniżej przykład dotyczący przeglądarki Chrome:

Udaj się do katalogu przeglądarki w systemie:

Windows 7, 8.1, and 10:
C:\Users\\AppData\Local\Google\Chrome\User Data\Default

Mac OS X El Capitan:
Users//Library/Application Support/Google/Chrome/Default

Linux:
/home//.config/google-chrome/default

A potem WYŁĄCZ przeglądarkę i dopiero wtedy przejdź do katalogu “Extensions” oraz usuń katalog o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Zweryfikuj też, czy ten katalog nie znajduje się również w profilu innym niż domyślny (pojawia się, jeśli w Chrome jest wielu użytkowników).

Dobrym pomysłem będzie unieważnić aktywne sesje do wszystkich serwisów internetowych, w jakich byłeś zalogowany w przeglądarce (wyloguj się z każdego z nich) i dmuchając na zimne — zmień do nich hasła.


Aktualizacja: Jak informują inni badacze, jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Na koniec, ostrzeż też swoich znajomych, przekazując im link do tego artykułu. Możesz nawet nie zdawać sobie sprawy, że w Twoim imieniu robak przesłał im złośliwe “zdjęcia” z Twojego konta.

Informacje na temat ataku oraz informacje jak powstępować w razie otwarcia pliku ze zdjęciem pochodzi z niebezpiecznik.pl