Uważaj na powiadomienia na Facebooku – nowy wirus wykorzystuje je do infekowania komputerów! Atak odbywa się przez powiadomienia z informacją o oznaczeniu w komentarzu lub we wpisie na osi czasu znajomego. Jak się przed tym chronić i jak usunąć wirusa?

Ransomware na Facebooku - jak usunąć wirusa?

Nowy wirus na Facebooku jest wyjątkowo nieprzyjemny – jak informuje serwis Niebezpiecznik.pl, to szkodnik typu Ransomware, który „bierze w okup” twoje pliki na dysku, szyfruje je hasłem i oferuje ich odblokowanie dopiero po uiszczeniu wysokiej opłaty. Pamiętaj – nigdy nie płać za wirusy Ransomware! Przygotowaliśmy poradnik, który wyjaśnia sposób działania wirusa, pokazuje, jak się przed nim chronić, gdy istnieje ryzyko zarażenia komputera, a także prezentuje sposób jego szybkiego wykasowania z komputera.

Z tego, co obecnie wiadomo, wirus atakuje tylko użytkowników komputerów z Windowsem. Linux i Mac OS jest wolny od zagrożenia. Urządzenia mobilne z Androidem / iOS również nie są podatne na zagrożenie.

Jak działa nowy wirus typu Ransomware na Facebooku?

Nowy wirus działa w oparciu o skrypt JavaScript i do rozprzestrzeniania się wykorzystuje powiadomienia na Facebooku (czasem też wiadomości prywatne oraz automatyczne wpisy na osi czasu). Najczęściej jednak są to powiadomienia, a konkretnie jeden ich typ  – komunikat o oznaczeniu / wspomnieniu w komentarzu, poście lub na zdjęciu. Twórcy wirusa przewidzieli, że użytkownicy klikną w ten typ powiadomienia i dlatego go użyli.

Przykładowe powiadomienie z wirusem

Dostajemy zatem powiadomienie od Facebooka z informacją, że ktoś o nas wspomniał lub nas oznaczył we wpisie. Co dalej? Po kliknięciu w powiadomienie wcale nie zostajemy przeniesieni do treści na Facebooku. Zamiast tego powiadomienie przenosi nas do strony Google Docs (Dokumenty Google). Aby tak się stało, użytkownik musi potwierdzić chęć wyjścia ze strony Facebooka do linku zewnętrznego.

Gdy to zrobimy, ze strony ściąga się plik JavaScript z rozszerzeniem *.jse, a następnie system go uruchamia. Jeśli zgodzimy się na uruchomienie pliku, to do komputera zostaje ściągnięty wirus w całej okazałości, a w przeglądarce zostaje zainstalowany szkodliwy dodatek.

Od tej chwili nasz komputer zostaje zainfekowany. Wirus zaczyna przejmować kontrolę nad naszymi plikami na dysku, szyfrując je hasłem i blokując do nich dostęp. Po pewnym czasie na ekranie zaczną się pojawiać komunikaty o konieczności uiszczenia opłaty za hasło do odblokowania plików. To nie wszystko – za pomocą dodatku w przeglądarce internetowej wirus rozprzestrzenia się dalej, wykorzystując w tym celu nasze konto na Facebooku.

Wiadomości z wirusem wysyłane do znajomych

Nasi znajomi zaczną otrzymywać podobne powiadomienia o oznaczeniu w komentarzu. Co więcej, wirus może też rozprzestrzeniać się przez wiadomości na czacie Facebooka oraz przez linki umieszczone automatycznie na osi czasu znajomego.

Jak się chronić przed nowym wirusem na Facebooku?

Przede wszystkim NIE klikaj w powiadomienia o oznaczeniu w komentarzu, wpisie lub na zdjęciu! Po prostu ignoruj takie powiadomienia. Jeśli koniecznie musisz sprawdzić, czy faktycznie ktoś o tobie wspomniał lub cię oznaczył, to możesz zrobić to inaczej – wejdź na swój profil na Facebooku, a następnie kliknij w przycisk „Dziennik aktywności” na zdjęciu w tle. Wyświetlają się tu wszystkie zdarzenia związane z twoim kontem i możesz wyszukać nieco więcej informacji odnośnie tego, w czym zostałeś oznaczony/-a.

Jeśli jednak klikniesz na powiadomienie, to Facebook spróbuje Cię zatrzymać. Facebook zapyta Cię, czy chcesz opuścić serwis społecznościowy i przejść do zewnętrznej strony, której adres się wyświetli. Jeśli adres prowadzi do strony Google Docs, jak na zrzucie poniżej, to pod żadnym pozorem nie wyrażaj zgody na przejście pod ten link – po prostu się wycofaj.

Przejście do linku zewnętrznego - nie wyrażaj zgody!

Nawet jeśli zostaniesz przeniesiony/-a do strony Google Docs, to jeszcze i tak nie wszystko stracone. Po wejściu na zainfekowaną stronę przeglądarka spróbuje pobrać i uruchomić plik z rozszerzeniem *.jse. Najprawdopodobniej będzie to plik o nazwie typu comment_XXXXXXX.jse, gdzie XXXXXXXX to losowy ciąg znaków. Nie wyrażaj zgody na uruchomienie tego pliku! Dopóki nie uruchomisz tego pliku nic Ci nie grozi!

Jak usunąć wirusa, gdy uruchomiliśmy zainfekowany plik?

W takim wypadku należy działać bardzo szybko – liczy się każda sekunda, gdyż im dłużej wirus będzie działać na komputerze, tym większa szansa, że zacznie się rozprzestrzeniać i szyfrować nasze pliki na dysku.

Przede wszystkim skopiuj i wklej do Notatnika / Worda poniższą listę plików (aby mieć ją pod ręką), a następnie jak najszybciej zamknij przeglądarkę internetową.

  • autoit.exe
  • bg.js
  • ekl.au3
  • ff.zip
  • force.au3
  • manifest.json
  • ping.js
  • ping2.js
  • run.bat
  • sabit.au3
  • up.au3

To pliki, które musisz wykasować ze swojego komputera. Znajdują się one w folderze AppData/Roaming w katalogu użytkownika. Można do tego folderu przejść błyskawicznie za pomocą skrótu. Wciśnij kombinację klawiszy Windows + R. Wyświetli się okienko uruchamiania. Wpisz w nim poniższą komendę:

%appdata%

Wejdź do folderu AppData/Roaming

Po potwierdzeniu przyciskiem Enter zostaniesz przeniesiony/-a do folderu AppData/Roaming. Sprawdź, czy znajdują się tu powyższe pliki. Jeśli tak, to usuń je jak najszybciej. Warto też sprawdzić podfoldery oraz główny katalog AppData w poszukiwaniu tych plików.

Usuwanie szkodliwych plików z wirusem z Facebooka

Jeśli nie możesz znaleźć plików, a masz pewność, że szkodliwy plik *.jse został uruchomiony ze strony Google Docs, to możesz całkowicie wykasować swoją przeglądarkę internetową wraz z rozszerzeniami i wszystkimi danymi, a następnie zainstalować ją od nowa. Wirus nie powinien nam już wtedy zagrażać.