Hoppa till huvudinnehåll

Facebookvirus sprider sig bland en del användare - kan troligen kryptera data och kräva betalning

Facebooks logotyp.
Facebooks logotyp. Bild: EPA/ DANIEL REINHARDT Facebook

En del Facebookanvändare har under de senaste dagarna drabbats av ett virus som sprider sig via Facebook. Viruset kan ladda ned annan skadlig kod - till exempel en utpressningstrojan som krypterar innehållet på hårdskivan och kräver pengar för att användaren ska återfå filerna.

Viruset sprids genom att infektera webbläsaren Google Chrome. Sedan skickar det sig vidare via privatmeddelanden till användarens Facebookvänner. Meddelandet innehåller en bildfil med ändelsen .svg och den ska man alltså inte klicka på.

Det finns uppgifter om att viruset, som heter JS.Nemucod.CX, har spridit sig till flera användare i Finland, i USA och i Norge under de senaste 24 timmarna.

Virus som sprids via Facebook
Viruset sprids med en fil som har ändelsen .svg Virus som sprids via Facebook Bild: Yle Facebook,datorvirus

Klickar man på den fil som vännen skickar öppnas en webbsida som ser ut som Youtube och som försöker installera ett tillägg vid namn One till Google Chrome, genom att påstå att ett nödvändigt "video codec" saknas.

Rent tekniskt är det här enligt Cybersäkerhetscentret möjligt på grund av en bugg i Facebook, som tillåter att Javascript kan köras i .svg-filer.

De som surfar med webbläsaren Chrome på en dator och installerar tillägget kan bli infekterade. De som surfar med andra webbläsare, med en surfplatta eller med en mobiltelefon drabbas inte.

En dag efter att den här artikeln först publicerades kommenterar Google att det farliga Google Chrome-tillägget nu har blockerats.

"Man kan inte längre installera tillägget, och vi har också blockerat det för användare som har installerat det", säger Google i en kommentar till Yle Nyheter.

Och samma dag säger Facebook i ett uttalande till Yle Nyheter att man nu har fixat säkerhetsproblemet:

"Vi upprätthåller ett antal automatiska system som ska stoppa farliga länkar och filer på Facebook, och vi blockerar nu det här hotet på vår plattform",

Utpressningstrojan följer också med?

IT-säkerhetsföretaget F-Secure påpekar att det finns information om att Facebookviruset har hämtat ned den ökända utpressningstrojanen Locky.

Säkerhetsexpert Mikael Albrecht på F-Secure säger till Yle Nyheter att bedömningen till exempel baserar sig på uppgifter från den danska IT-säkerhetsexperten Peter Kruse.

– Avsikten med hela den här grejen är att hämta hem utpressningstrojaner som sedan krypterar användarnas data och ber om pengar för att dekryptera datamaterialet igen, berättar Albrecht.

Hoppa över Twitterpostning

Det här är ändå inget som Cybersäkerhetscentret i Finland har kunnat bekräfta än. Myndigheten har däremot lagt märke till att viruset tar kontakt med ett par olika webbadresser, och säger att det finns en risk för att en angripare kan köra valfri skadlig kod på distans på de webbläsare som har infekterats.

Det är ändå troligt att användaren måste klicka på något ytterligare för att Locky ska kunna laddas ned till datorn, till exempel via en webbplats som det osäkra tillägget styr användaren till.

Utpressningstrojanen Locky kan kryptera innehållet på hårdskivan - i värsta fall på bara några få minuter. För att återfå sina filer i okrypterad form uppmanas man sedan betala mellan 200 och 1000 euro, i den virtuella valutan bitcoin.

Både IT-säkerhetsexperter och Cybersäkerhetscentret avråder folk som råkar ut för utpressningstrojaner att betala lösensumma eftersom pengarna går till kriminella. Rekommendationen är i stället att återställa filer från säkerhetskopior, och att installera ett uppdaterat antivirusprogram för att minska risken för att drabbas i framtiden. Man kan också försöka ta bort Locky innan den hinner kryptera viktiga filer.

Om du drabbats

Din webbläsare är infekterad om du har öppnat Facebook-meddelandet i Chrome, på en dator. Då borde du installera ett program som motverkar skadlig kod - till exempel ett antivirusprogram, eller gratisprogrammet Malwarebytes - och skanna datorn med det.

Många antivirusprogram lyckas däremot för tillfället inte hitta Facebookviruset JS.Nemucod.CX, så det kan löna sig att pröva med flera antivirusprogram.

Dessutom borde den som drabbats för säkerhets skull byta Facebook-lösenord.

Åtminstone en användare uppger att felet berodde på en föråldrad version av webbläsaren Chrome, men de uppgifterna har IT-experter inte lyckats bekräfta än, så alla versioner av Chrome kan vara sårbara.

22.11.2016 kl. 9.57: Artikeln uppdaterades med en kommentar från Google.
22.11.2016 kl. 12.00: Artikeln uppdaterades med en kommentar från Facebook.

Läs mera:

Flicka använder smarttelefon och dator.

Har du antivirusprogram i mobilen? Vi frågade en expert om du borde ha ett

Det kan vara tryggare att använda nätbank i smarttelefonen än på datorn, säger en expert. Trots att telefonen helt skulle sakna datasäkerhetsprogram.

  • Essä: Flugseendet – insekterna, häpnaden och omgestaltningen av vårt band till naturen

    Matilda Södergran skriver om vår relation till naturen.

    Är vi så separerade från naturen att vi inte kan skriva om den, läsa om den, utan att politisera? Om vi inte ens kan uppfatta nyanser i litteratur som handskas med flora och fauna säger det något om vår relation till naturen. Jag vill tro att det fortfarande finns en liten lucka där vi kan få vara i och gestalta naturen bara för njutningens skull, för de exceptionella och extraordinära upplevelsernas skull, skriver poeten Matilda Södergran i denna essä.

  • "Vi är illa tvungna att betala" - filippinska sjukskötare har krävts på olagliga avgifter för att komma till Finland

    Finland tar inget ansvar för rekryterade sjukskötare

    Stora finländska vårdföretag har i drygt tio års tid rekryterat filippinska sjukskötare till vårdhem för äldre. En del av de här sjukskötarna arbetar i åratal med enklare hjälpsysslor trots att de har en ansedd universitetsutbildning från Filippinerna. Alla får inte betalt som de borde, och några har krävts på olagliga avgifter.

  • Sju döda efter attentat mot ministerium i Kabul

    Alla misstänkta dödades av polisen.

    Attentatet fick sin början då en bomb kreverade vid informationsministeriet vid middagstid på lördag. Skottlossning pågick i sex timmar därefter. Sju personer dödades och alla fyra attentatsmän sköts ihjäl av polis.

Läs också

Nyligen publicerat - Inrikes