Bardzo poważny atak na użytkowników Facebooka. Znajomy wysłał zdjęcie? Nie otwieraj go!
To jeden z najbardziej przebiegłych i niebezpiecznych ataków facebookowych ostatnich miesięcy. Skala jest duża, a konsekwencje poważne - kliknięcie na zdjęcie wysłane rzekomo przez znajomego może nawet zablokować wasz komputer.
Wszystko przebiega następująco: jak zwykle "siedzicie sobie na fejsie" i dostajecie wiadomość. Może ona pochodzić od znajomego albood obcej osoby. W treści znajduje się zdjęcie w postaci photoXXXX.svg. Miniaturka jest niewielka, więc oczywiście klikacie na zdjęcie, żeby je powiększyć.
Na to właśnie liczą przestępcy - plik nie jest bowiem zwykłym zdjęciem, lecz uruchamia na komputerze skrypt. Jak informuje Niebezpiecznik.pl:
"Wynikiem działania skryptu jest przekierowanie ofiary najpierw na adres hxxp://govahoyuge.itup.pw/php/trust.php, a potem na losowe subdomeny"
W efekcie trafiamy na stronę, która wygląda jak YouTube; na niej widzimy informację, że aby obejrzeć nagranie niezbędne jest zainstalowanie kodeka. Jeśli wybierzecie "Instaluj", zamiast kodeka zainstalowany zostanie złośliwy dodatek do przeglądarki. I tu zaczynają się prawdziwe kłopoty, bo ma on uprawnienia między innymi do wykradania danych.
Serwis Niebezpiecznik.pl ostrzega, że to tylko jeden ze scenariuszy ataku. Wszystkie są jednak równie niebezpieczne. A co więcej:
_"Jeśli otworzyłeś to zdjęcie w systemie Windows, w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie" - czytamy na Niebezpieczniku. _
Atak jest tak poważny, ponieważ wykorzystuje socjotechnikę i złośliwe oprogramowanie. Ufamy znajomym, więc klikamy w przesyłane przez nich pliki. W tym wypadku może się to jednak skończyć bardzo źle.
Co zrobić, jeśli kliknęliście w zdjęcie?
Dodatku do przeglądarki nie usuniecie z jej ustawień. Złośliwa wtyczka po prostu nie pozwoli na ich otworzenie. Jedynym wyjściem jest w tym wypadku usunięcie go ręcznie. Wyłącz przeglądarkę i znajdź na dysku twardym katalog z jej danymi. W nim będzie znajdować się folder z rozszerzeniami. Jeśli korzystasz z Chrome'a, to plik którego szukasz nosi nazwę "jegjfinhocnmomhpgmnbjambmgbifjbg". Niestety nie mamy jeszcze danych dla pozostałych przeglądarek - jeśli je zdobędziemy, tekst zostanie zaktualizowany.
