Uwaga na złośliwy wirus! Jeśli znajomy prześlę Ci zdjęcie, lepiej go nie otwieraj.

Jak informuje  niebezpiecznik. pl jeżeli już otworzyłeś zdjęcie w systemie Windows w przeglądarce innej niż Chrome NATYCHMIAST wyłącz komputer i doczytaj ten artykuł z innego urządzenia. Jest bowiem spora szansa na to, że twój dysk twardy jest teraz szyfrowany i jeśli nie masz backupów, będziesz musiał zapłacić przestępcom za jego odszyfrowanie!

Na czym polega atak?

W trakcie rozmowy na Messengerze możecie otrzymać od znajomego “zdjęcie”. Wszystkie przesyłane przez robaka złośliwe pliki póki co zawsze mają następującą postać nazwy: photo_XXXX.svg, sugerując tym samym, że są zdjęciem. Niestety, jest to plik .svg, który po pobraniu i uruchomieniu w przeglądarce ofiary uruchamia złośliwy skrypt. Wynikiem działania skryptu jest przekierowanie ofiary najpierw na adres hxxp://govahoyuge.itup.pw/php/trust.php, a potem na losowe subdomeny wedle poniższego formatu:

hxxp://ecadutaro.yadozalamom.pw/oseboma.html
hxxp://mitobeb.yadozalamom.pw/fineboz.html
hxxp://ibaveh.yadozalamom.pw/urisur.html

Pod nimi kryje się fałszywa strona podszywająca się pod YouTube, która informuje ofiarę, że do zobaczenia filmu potrzebny jest odpowiedni “kodek video” i podstawia do pobrania złośliwy dodatek do przeglądarki. Dla przeglądarki Chrome jest to:

hxxps://chrome.google.com/webstore/detail/ubo/jegjfinhocnmomhpgmnbjambmgbifjbg/

Dodatek zyskuje pełne uprawnienia do wszystkich otwieranych w przeglądarce stron i odpowiada za dalszą propagację ataku z kont ofiary, ale także wykradanie danych.

O to kilka porad o których pisze niebepziecznik.pl:

Otworzyłem zdjęcie — co robić, jak żyć?

Jeśli zainstalowałeś w swojej przeglądarce ten dodatek, nie będziesz w stanie go usunąć bezpośrednio z przeglądarki. Niestety, dodatek zamyka stronę z ustawieniami (starając się nie dopuścić do jego usunięcia). Dlatego dodatek trzeba usunąć ręcznie. Poniżej przykład dotyczący przeglądarki Chrome:

Udaj się do katalogu przeglądarki w systemie:

Windows 7, 8.1, and 10:
C:\Users\\AppData\Local\Google\Chrome\User Data\Default

Mac OS X El Capitan:
Users//Library/Application Support/Google/Chrome/Default

Linux:
/home//.config/google-chrome/default

A potem WYŁĄCZ przeglądarkę i dopiero wtedy przejdź do katalogu “Extensions” oraz usuń katalog o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Zweryfikuj też, czy ten katalog nie znajduje się również w profilu innym niż domyślny (pojawia się, jeśli w Chrome jest wielu użytkowników).

Dobrym pomysłem będzie unieważnić aktywne sesje do wszystkich serwisów internetowych, w jakich byłeś zalogowany w przeglądarce (wyloguj się z każdego z nich) i dmuchając na zimne — zmień do nich hasła.