En helt ny virus-cocktail spreder sig hastigt på Facebook, og brugere risikerer at få stjålet og blive opkrævet løsepenge for egne data - fra worddokumenter til familiebilleder og excelark.
I løbet af de seneste 24 timer har hundredtusindvis af Facebook-brugere verden over modtaget et link af en Facebook-ven i noget, som ligner en regulær messenger-besked.
Heriblandt mange danskere.
Tilgår man Facebook fra browseren Google Chrome, og har man trykket på linket, som er en svg.fil, der ligner et foto, er man med meget stor sandsynlighed blevet inficeret med en virus, som IT-sikkerhedsekspert i CSIS, Peter Kruse, ikke tøver med at kalde »en farlig cocktail«.
Der sker nemlig to ting, hvis Facebook-brugere lader sig narre, klikker på filen og accepterer den.
»Først og fremmest er der tale om en orm, som putter sig i ens Google Chrome som en tilføjelse, og så hijacker den ens Facebook-konto og sender sig selv videre i beskeder til personer på ens venneliste, som så også bliver inficeret,« siger Peter Kruse, som imidlertid er mere bekymret for virussens næste stadie:
»Derefter henter virussen en ransomware virus, som betyder, at ens data bliver kidnappet, og så skal man betale løsepenge for at få dem igen. Alle ens computerdata og tilgængelige drev bliver simpelthen krypteret med en krypteringsalgoritme, som ikke kan brydes, så det vil sige, at hvis man vil have familiebilleder, dokumenter, regneark og firmadokumenter igen, så skal man betale banditterne penge,« siger Peter Kruse.
Hvad bliver man opkrævet?
»Prisen varierer mellem 0,7 og 1,5 bitcoins, og 1 bitcoin svarer til omkring 5.150 kroner. Betaler man pengene, får man en nøgle, så man kan lukke sine data op igen. Derfor ligger forretningsmodellen for bagmændene i, at de får 5-7.000 kr. for hver bruger, som de kan ramme, og det er en fin forretning.«
Peter Kruse forklarer, at det er første gang, at Facebook har oplevet den benyttede metode, og det er medvirkende til, at virussen har spredt sig så hurtigt. Derudover er ransomware den hurtigst voksende form for skadelig kode, der findes på nettet lige nu, og ikke let at få has på.
»Det er helt enestående og nyt, at vi ser svg.filer og ransomware i kombination med hinanden. Svg.filer omgår og snyder Facebooks sikkerhedsmekanismer, og vi har aldrig tidligere set, at Facebook er blevet brugt til at sprede ransomware. Hidtil er det kun blevet spredt igennem e-mails og ondsindede websider, så cocktailen af de to er meget snedig,« siger Peter Kruse.
Hvad skal man gøre, hvis man er kommet til at klikke?
»Så skal man hurtigst muligt gå ind i Chrome og fjerne den tilføjelse, man installerer ved at trykke på den tilsendte fil. Den hedder enten »UBO« eller »ONE«, og den skal man slette, inden man får ransomware. Når man det ikke, er situationen en helt anden, og så skal man enten have fat i sin backup eller sin pengepung for at få sine data igen,« siger Peter Kruse.
Han vurderer, at Facebook-virussen er startskuddet til en ny form for IT-kriminalitet, som vil ramme mennesker vilkårligt med det formål at tjene penge. I den forbindelse er det oplagt at benytte Facebook, hvor brugerne har tillid til, at det, de modtager fra personer på deres venneliste, er reelt.
»Folk tror ikke længere på, at de har arvet en stor sum penge fra en stammehøvding i Nigeria, så nu snyder bagmændene på nye måder. Det er en evolution, for folk er blevet mere opmærksomme på den første form for svindel, så nu flytter IT-kriminelle simpelthen platform og strategi for at ramme folk, hvor folk ikke forventer at blive ramt. Det er det, vi er vidner til her,« siger Peter Kruse.
