בשעות האחרונות מסתובב בפייסבוק הווירוס המסוכן ביותר שראינו עד כה ברשת החברתית.

מאז אתמול (ש') בערב מקבלים גולשים התראה על כך שאחד מחבריהם תייג אותם בפוסט או בתגובה. כאשר לוחצים על ההתראה - במקום לעבור לפוסט או לתגובה מתחילה הורדת קובץ למכשיר. כך קורה בגלישה ממחשב או מסמארטפון אנדרואיד ומכל דפדפן.

לאחר הורדת הקובץ, אם תפעילו אותו הוא יוריד קבצים נוספים. "השיטה היא להוריד קבצי וירוס שמתחזים לקבצי תמונה בסיומת שלהם. לאחר שהורדו לתיקייה, סקריפט זדוני ישנה את סיומת הקובץ ויריד אותם. המאפיינים הללו נראו בתוכנות כופר לאחרונה", מסביר עידו נאור, חוקר בכיר בצוות החוקרים של מעבדת קספרסקי (GReAT). לפי מומחי תוכנה שניתחו את הווירוס, הוא תוקף מחשבים, שולח פרטים למפעיליו ומסוגל גם לנעול את הגישה לקבצים על המכשיר הנגוע מאחורי סיסמה ולדרוש תשלום בעד קבלתה.

לפי הניתוחים, הווירוס לא נמצא בפייסבוק עצמה, כך שלדווח עליו לפייסבוק לא יעזור, שכן החברה לא יכולה למנוע ממנו להמשיך להפיץ את עצמו. עם זאת, בשעה האחרונה, בעקבות דיווחים רבים, החלה פייסבוק למחוק באופן אוטומטי קישורים לווירוס שמועלים אליה.

אז מה עושים?

אם קיבלתם את הווירוס והורדתם אותו בסמארטפון אנדרואיד - כל מה שאתם צריכים לעשות הוא למחוק את הקובץ. הוא לא יכול לגרום לכם לנזק ממשי. היכנסו לאפליקציית ניהול הקבצים שלכם (בכל מכשיר זו אפליקציית אחרת, בדרך כלל עם סמל תיקייה דומה לזה המוכר מהמחשב). היכנסו לתיקיית Download.

מחקו את הקובץ שמתחיל ב-comment ונגמר בנקודה jse על ידי לחיצה ארוכה ובחירה באפשרות המחיקה (בדרך כלל ציור של פח אשפה או מילה כמו "מחק").

אם נתתם לקובץ להוריד ולפתוח את עצמו במחשב שלכם - אתם כבר נגועים. אם לא היה לכם אנטיוירוס מעודכן שחסם את הווירוס, תצטרכו לחפש אנטיוירוס להורדה (לפי המומחים, את חלק מאתרי האנטיוירוס הוא חוסם, אבל נסו בכל זאת). אם יש לכם אנטיוירוס על המחשב (או לאחר שהורדתם אחד) - בצעו סריקה של המערכת. כל תוכנה ראויה תמצא את הווירוס ותנסה להסיר אותו.

בכל אופן, בין אם הפעלתם את הקובץ ובין אם לא - כדאי למחוק אותו, כדי למנוע אפשרות הפעלה עתידית שלו. במחשב, גשו לתיקיית ההורדות על ידי לחיצה על החץ לצד הקובץ שהורד ובחירה ב"הצג בתיקייה".

מחקו מהתיקייה את הקובץ ששמו מתחיל ב-comment, לאחר מכן מספר ובסוף נקודה jse.

בנוסף, מי שקיבל מחברים תלונות על כך שקיבלו ממנו את הווירוס - נגוע בווירוס אחר, שיושב כתוסף על דפדפן הכרום ומעלה את הקישורים הזדוניים לפייסבוק. היכנסו לרשימת התוספים המותקנים (הקישור יעבוד רק בדפדפן כרום למחשב) או בהזנת chrome://extensions/ בשורת הכתובות. מייד כאשר הדף עולה, לחצו על Esc או על כפתור העצירה בדפדפן - אחרת התוסף יזרוק אתכם לאתר חנות האפליקציות של גוגל כדי לנסות למנוע מכם להוריד אותו. חפשו תוסף עם שם דומה (אם כי לא בהכרח זהה) לזה שבתמונה והסירו אותו על ידי לחיצה על כפתור פח הזבל.

 

פנינו לפייסבוק, שטרם הגיבה לעניין.

ארז שטנג, ארכיטקט אבטחת מידע וסייבר בחטיבת הסייבר של SECOZ (שנרכשה ע"י BDO-זיו האפט ישראל), מסביר ש"מדובר בסקריפט שמופץ במטרה לבצע נזקים ולהחליף את הדפדפן הפעיל בשולחן העבודה בדפדפן חדש הכולל בתוכו רכיבים עוינים וסוסים טרויאנים להוצאת מידע החוצה. על פניו, מתחקיר ראשוני של הסקריפט, אין מדובר באיומי הכופרה המוכרים לנו, אלא בניסיונות לקבל שליטה על דפדפנים ודרכם להפנות חלק מהתעבורה לצרכי גניבת מידע. לכאורה, בשלב זה, נראה כי מדובר בטכניקה פשוטה לקבל זהות ואישור כדי להמשיך מתקפות נוספות.
"המלצתנו: משתמש שחושד כי נדבק, עליו להניח כי כל הסיסמאות ושמות המשתמש שלו ששמורים בדפדפן נגנבו, ולכן רצוי שיעדכן סיסמאות בכל האתרים כדי למנוע שימוש עתידי בהם".