Wirus- Facebook i mail

Wirus rozsyłany przez Facebook

wirus facebookSchemat rozsyłania wirusa przez Facebook jest prosty:
1. Otrzymujemy powiadomienie o tym, że nasz znajomy oznaczył nas na Facebook.
2. Klikamy i zostajemy przeniesieni na link informujący, że opuszczamy Facebook
3. Docelowo lądujemy w miejscu, którego link wygląda na zaufane Google Docs.

Pobierany jest plik, z rozszerzeniem – ‚*.jse”, który to uruchamia pobieranie złośliwe oprogramowanie. Całość jest maskowana tak, że wydaje nam się, że sugeruje że pobierane są zdjęcia z rozszerzeniem „*.jpg”.

Wszystko odbywa się automatycznie.

Kto jest zagrożony?

Tak jak w przypadku plików rozsyłanych za pomocą maila, zagrożeni są posiadacze Windowsów.

Androidy i IOS są bezpieczne.

Co mi grozi?

Niestety wirus jest dość złośliwy.

  1. Po zainstalowaniu na naszym komputerze, rozpoczyna proces szyfrowania plików. Polega to na zmianie plików w taki sposób, że nie możemy ich już otworzyć.
  2. Następnie, nasz komputer rozsyła wiadomości Facebook dalej.

Zaszyfrowanych plików nie da się otworzyć.

Pobrałem już plik .jse

Jeśli już kliknąłeś na fałszywą wiadomość i pobrałeś plik o rozszerzeniu  *.jse, natychmiast go usuń. Jeżeli już zdążyłeś go uruchomić, twój dysk może zostać zaszyfrowany. By tego uniknąć, usuń wszystkie pliki powiązane z wirusem. W tym celu zamknij przeglądarkę, wejdź do katalogu AppData (C:\Users\NAZWAUŻYTKOWNIKA\AppData, gdzie NAZWAUŻYTKOWNIKA to twoja nazwa użytkownika) i usunąć następujące pliki:

autoit.exe
bg.js
ekl.au3
ff.zip
force.au3
manifest.json
ping.js
ping2.js
run.bat
sabit.au3
up.au3

Dodatkowo, jeżeli nie potrafisz odnaleźć złośliwego rozszerzenia, trzeba także usunąć katalog przeglądarki oraz jej wszystkich rozszerzeń.

Co jest szyfrowane?

Ataki przy użyciu ransomware, czyli wspomniany atak wyszukują na naszym komputerze pliki z rozszerzeniami między innymi *.doc, *.docx, *.exe, *.pdf, *.jpg, *.mov itd.- czyli takimi, które mogą mieć jakąś wartość dla nas. Po zaszyfrowaniu nie jesteśmy w stanie otworzyć tych plików. Często wirus uruchamia funkcję usuwania wcześniejszych wersji pliku, tak byśmy nie mogli odtworzyć zaszyfrowanych danych.

Twórcy wirusów skonstruowali je tak, byśmy po zaszyfrowaniu naszych plików przez złośliwe oprogramowanie, otrzymali wiadomość o możliwości zapłaty około 200$ po czym otrzymamy klucz umożliwiający odszyfrowanie danych. Odradzamy płacenia tej kwoty. Wspieramy tym działania twórców złośliwych oprogramowań, a nie otrzymujemy gwarancji na to, że klucz ten otrzymamy, bądź, że zadziała on zgodnie z oczekiwaniami.

Pliki Dropbox a szyfrowanie

Jeśli już padłeś ofiarą ataku, a Twoje pliki zostały zaszyfrowane zauważysz też, że pliki na Dropbox, też mają zmienione rozszerzenia.

Jeśli tak się stało, postaraj się odzyskać je, klikając prawym przyciskiem myszy na zaszyfrowany plik i wybierając opcję podglądu poprzednich wersji. Możesz dzięki temu przywrócić starszą wersję dokumentu. Niestety zmiany wprowadzone pomiędzy tymi wersjami zostaną utracone.

Jeśli poprzednie wersje pliku nie są dostępne, należy skontaktować się z serwisem Dropbox i poprosić ich o odzyskanie danych z jednoczesnym podaniem daty- dnia przez zainfekowaniem komputera.

Jak to się stało?

Luki w oprogramowaniu to nic nowego.  Wygląda jednak na to, że ktoś studiował bezpieczeństwo Facebook i udało mu się stworzyć coś, co do tej pory było nam znane z wiadomości email.

 

Zainteresowani bardziej szczegółowym opisem zapraszam na niebezpiecznik.pl

 

 

Wirus- Facebook i mail
Tagged on: