חבר תייג אתכם בפייסבוק? זהירות, ייתכן שמדובר בנוזקה!

הכופרה, שפגעה בימים האחרונים במשתמשים ישראליים ברשת החברתית, מורידה את הקובץ למחשב שלכם באמצעות תיוג "על ידי אחד החברים" ● מי שפותח את הקובץ עלול להידבק ● מה עושים?

סליחה, תקלת ענק - אפילו במונחים של פייסבוק

נתקלתם בפייסבוק (Facebook) בתיוג על ידי חבר, שבעקבותיו ירד קובץ למחשב שלכם? אל תפתחו אותו מאחר שיש סיכוי גדול מאוד שמדובר בנוזקה! גולשים ישראליים רבים ברשת החברתית דיווחו בימים האחרונים, ובעיקר בשעות האחרונות, כי נדבקו בתוכנה בדרך זו.

מדובר בקובץ תחת השם comment_24016875.jse, שנכתב בג'אווה סקריפט (Java Script). פתיחת הקובץ, שפותח דלת אחורית במחשב שנדבק, מאפשרת להאקרים לשתול בו תוכנות פרסום וכופרות. יצוין כי ההתראה על התיוג מופיעה ב-Notifications של המשתמש, תחת אייקון כדור הארץ.

יצוין כי מי שלחץ על ההתראה אבל לא לחץ על פתיחת הקובץ – לא נפגע. אלא שכדאי שלא ללחוץ על ההתראה הזאת מלכתחילה. במקרה שהורדתם את הקובץ, ההמלצה היא למחוק אותו. ניתן לעשות זאת על ידי כניסה להגדרות ולאחר מכן לאפליקציות. כדאי בהזדמנות זו להסיר את כל האפליקציות שלא צריכים, או שמקורן אינו ידוע. עוד דבר שמומלץ לעשות הוא למחוק את התוספים הלא נחוצים בדפדפן שלכם.

בתחילה דווח שמדובר בכופרה, אלא שכעת נוטות חברות האבטיחה לחשוב שמדובר בסקריפט (Script). מקספרסקי (Kaspersky) נמסר כי מדובר בקובץ ג'אווה סקריפט (Java Script) שמוצמד לפייסבוק באמצעות קישור ל-Google Docs. בענקית אבטחת המידע מציינים כי "הווירוס מתקין את עצמו על המחשב בצורה בה מחיקתו לא תעזור. מומלץ לקחת את המחשב למעבדה ולהתקין תוכנת אנטי וירוס. בנוסף, יש להימנע מהפעלת קבצים באופן אוטומטי. דבר זה ניתן לשנות בהגדרות האבטחה של הדפדפן. במידה שנתקלתם בקובץ שאינו מוכר, יש להתעלם ממנו ולמחוק אותו במיידי".

ב-eset מציינים שתהליך ההצפנה של הקבצים במחשב, שבלעדיו ההאקר לא יכול להפעיל את הכופרה, יכול להימשך מספר שעות וניתן להפסיק אותו על ידי כיבוי המחשב או ניתוקו מהחשמל. לפי שעה נראה כי הקובץ פוגע רק ב-Windows ולא במערכות הפעלה אחרות, אולם בכל מקרה – מומלץ להיזהר.

"שימוש בכלי IT פשוטים שקשה לחסום אותם"

ארז שטנג, ארכיטקט אבטחת מידע וסייבר בחטיבת הסייבר של SECOZ, מסר מידע נוסף על הנוזקה: "מדובר בסקריפט בשם MARS, שמופץ במטרה לבצע נזקים ולהחליף את הדפדפן הפעיל בשולחן העבודה בדפדפן חדש, הכולל בתוכו רכיבים עוינים. בתוך הדפדפן החדש שמוחלף, מוחלפים גם קיצורי הדרך הקבועים ונטענים עם פתיחתו מודולים חדשים, שמשבשים את תהליך העבודה ומפעילים סוסים טרויאניים להוצאת מידע החוצה".

"על פניו, מתחקיר ראשוני של הסקריפט, אין מדובר באיומי הכופרה המוכרים לנו, אלא בניסיונות לקבל שליטה על דפדפנים ודרכם להפנות חלק מהתעבורה לצרכי גניבת מידע", ציין. "לכאורה, בשלב זה, נראה כי מדובר בטכניקה פשוטה לקבל זהות ואישור כדי להמשיך מתקפות נוספות".

הוא אמר ש-"הטכניקה הפשוטה מהווה אתגר למנהלי אבטחת מידע ומערכות מידע, מאחר שנעשה כאן שימוש בכלי IT פשוטים ונפוצים שמשמשים ארגונים, ולכן קשה לחסום אותם".

שטנג העריך כי מדובר בבליץ של האקרים, שמבינים שינוטרו מהר, כך שההפצה מהירה מאוד ובתוך 24 שעות הסקריפט ייחסם. "יחד עם זאת, בוצעה הוכחת היתכנות ואנחנו צפויים לראות המשכיות שלו בשימושים עתידיים", הוסיף.

לדבריו, "מאחר שלא מדובר בווירוס ואין פה תהליך של הדבקה, הורדה של הקובץ ללא הפעלתו לא מפעילה את תהליך הפגיעה".

כיצד בודקים אם המחשב נפגע? שטנג ממליץ לגלוש לאחד מאתרי האנטי וירוס. לדבריו, כדי לנטרל את הפגיעה יש למחוק את הקבצים הרלוונטיים ולנקות את רשימת הדפדפנים החסומים. אפשרות נוספת היא הסרה והתקנה מחדש של דפדפן הכרום.

"המלצתנו: משתמש שחושד כי נדבק – עליו להניח שכל הסיסמאות ושמות המשתמש שלו שמורים בדפדפן, ולכן רצוי שיעדכן סיסמאות בכל האתרים כדי למנוע שימוש עתידי בהם", סיכם שטנג.

עדיין לא נמסרה כל התייחסות מפייסבוק.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים