Hoppa till huvudinnehåll

Facebookvirus sprider sig bland en del användare - kan troligen kryptera data och kräva betalning

Facebooks logotyp.
Facebooks logotyp. Bild: EPA/ DANIEL REINHARDT Facebook

En del Facebookanvändare har under de senaste dagarna drabbats av ett virus som sprider sig via Facebook. Viruset kan ladda ned annan skadlig kod - till exempel en utpressningstrojan som krypterar innehållet på hårdskivan och kräver pengar för att användaren ska återfå filerna.

Viruset sprids genom att infektera webbläsaren Google Chrome. Sedan skickar det sig vidare via privatmeddelanden till användarens Facebookvänner. Meddelandet innehåller en bildfil med ändelsen .svg och den ska man alltså inte klicka på.

Det finns uppgifter om att viruset, som heter JS.Nemucod.CX, har spridit sig till flera användare i Finland, i USA och i Norge under de senaste 24 timmarna.

Virus som sprids via Facebook
Viruset sprids med en fil som har ändelsen .svg Virus som sprids via Facebook Bild: Yle Facebook,datorvirus

Klickar man på den fil som vännen skickar öppnas en webbsida som ser ut som Youtube och som försöker installera ett tillägg vid namn One till Google Chrome, genom att påstå att ett nödvändigt "video codec" saknas.

Rent tekniskt är det här enligt Cybersäkerhetscentret möjligt på grund av en bugg i Facebook, som tillåter att Javascript kan köras i .svg-filer.

De som surfar med webbläsaren Chrome på en dator och installerar tillägget kan bli infekterade. De som surfar med andra webbläsare, med en surfplatta eller med en mobiltelefon drabbas inte.

En dag efter att den här artikeln först publicerades kommenterar Google att det farliga Google Chrome-tillägget nu har blockerats.

"Man kan inte längre installera tillägget, och vi har också blockerat det för användare som har installerat det", säger Google i en kommentar till Yle Nyheter.

Och samma dag säger Facebook i ett uttalande till Yle Nyheter att man nu har fixat säkerhetsproblemet:

"Vi upprätthåller ett antal automatiska system som ska stoppa farliga länkar och filer på Facebook, och vi blockerar nu det här hotet på vår plattform",

Utpressningstrojan följer också med?

IT-säkerhetsföretaget F-Secure påpekar att det finns information om att Facebookviruset har hämtat ned den ökända utpressningstrojanen Locky.

Säkerhetsexpert Mikael Albrecht på F-Secure säger till Yle Nyheter att bedömningen till exempel baserar sig på uppgifter från den danska IT-säkerhetsexperten Peter Kruse.

– Avsikten med hela den här grejen är att hämta hem utpressningstrojaner som sedan krypterar användarnas data och ber om pengar för att dekryptera datamaterialet igen, berättar Albrecht.

Hoppa över Twitterpostning

Det här är ändå inget som Cybersäkerhetscentret i Finland har kunnat bekräfta än. Myndigheten har däremot lagt märke till att viruset tar kontakt med ett par olika webbadresser, och säger att det finns en risk för att en angripare kan köra valfri skadlig kod på distans på de webbläsare som har infekterats.

Det är ändå troligt att användaren måste klicka på något ytterligare för att Locky ska kunna laddas ned till datorn, till exempel via en webbplats som det osäkra tillägget styr användaren till.

Utpressningstrojanen Locky kan kryptera innehållet på hårdskivan - i värsta fall på bara några få minuter. För att återfå sina filer i okrypterad form uppmanas man sedan betala mellan 200 och 1000 euro, i den virtuella valutan bitcoin.

Både IT-säkerhetsexperter och Cybersäkerhetscentret avråder folk som råkar ut för utpressningstrojaner att betala lösensumma eftersom pengarna går till kriminella. Rekommendationen är i stället att återställa filer från säkerhetskopior, och att installera ett uppdaterat antivirusprogram för att minska risken för att drabbas i framtiden. Man kan också försöka ta bort Locky innan den hinner kryptera viktiga filer.

Om du drabbats

Din webbläsare är infekterad om du har öppnat Facebook-meddelandet i Chrome, på en dator. Då borde du installera ett program som motverkar skadlig kod - till exempel ett antivirusprogram, eller gratisprogrammet Malwarebytes - och skanna datorn med det.

Många antivirusprogram lyckas däremot för tillfället inte hitta Facebookviruset JS.Nemucod.CX, så det kan löna sig att pröva med flera antivirusprogram.

Dessutom borde den som drabbats för säkerhets skull byta Facebook-lösenord.

Åtminstone en användare uppger att felet berodde på en föråldrad version av webbläsaren Chrome, men de uppgifterna har IT-experter inte lyckats bekräfta än, så alla versioner av Chrome kan vara sårbara.

22.11.2016 kl. 9.57: Artikeln uppdaterades med en kommentar från Google.
22.11.2016 kl. 12.00: Artikeln uppdaterades med en kommentar från Facebook.

Läs mera:

Har du antivirusprogram i mobilen? Vi frågade en expert om du borde ha ett

Det kan vara tryggare att använda nätbank i smarttelefonen än på datorn, säger en expert. Trots att telefonen helt skulle sakna datasäkerhetsprogram.

Läs också

Nyligen publicerat - Inrikes