Як поводитися з шкідливим програмним забезпеченням для майнінгу криптовалют, яке швидко поширюється через Facebook

З учорашнього дня, 18 грудня, через Facebook Messenger дуже швидко поширюється новий тип шкідливого коду, який поширюється через Zip-файли, які надсилаються як повідомлення Facebook Messenger. Назва файлу зазвичай має форму "відео_ + 4 випадкових числа" , якщо хтось надішле вам повідомлення з таким файлом, не відкривайте його!

Цей тип зловмисного коду написаний мовою AutoIT, основні функції обфусковані, щоб ускладнити аналіз. Після зараження комп’ютера вони використовуватимуть його для майнінгу криптовалюти, через що комп’ютер постійно зависає, не розуміючи, чому.

Як працює ця шкідлива програма?

Під час входу в комп’ютер шкідливий код отримує та надсилає інформацію на комп’ютер за адресою hxxp://ojoku.bigih.bid/api/cherry/login.php.

Далі шкідливий код завантажує та встановлює шкідливе розширення у браузер користувача. Це розширення продовжує розповсюджувати файли зловмисного програмного забезпечення у форматі відео серед друзів зараженої людини. Потім цей зловмисний код завантажує інше розширення в такі папки, як робочий стіл, панель завдань, програма..., записуючи файл ярлика Chrome.

Зрештою, зловмисне програмне забезпечення перезапустить Chrome, щоб розширення запрацювало та поширило інший тип зловмисного програмного забезпечення, яке використовується для майнінгу криптовалют, « Coin Minner ».

Як запобігти зловмисному програмному забезпеченню «видобутку криптовалюти».

Якщо ви випадково натиснули на шкідливий файл, швидко відредагуйте файл Hosts на своєму комп’ютері та додайте такі рядки:

127.0.0.1 ojoku.bigih.bid 127.0.0.1 plugin.ojoku.bigih.bid

Якщо хтось не знає, як отримати доступ до файлу Host на своєму комп’ютері, зверніться до такої статті:

• Як відкрити та відредагувати файл Host у Windows 10/8/7
• Як читати та редагувати файли хосту на Mac і Linux

Крім того, як тільки ви виявите, що ваш комп’ютер заражений шкідливим програмним забезпеченням, вам потрібно буде використати інший пристрій, щоб негайно змінити свій пароль Facebook і вийти з усього облікового запису Facebook на зараженому комп’ютері.

Інструкції щодо видалення шкідливого коду з комп’ютера

Відповідно до рекомендацій експертів CyRadar, ви можете перевірити, чи заражений ваш комп’ютер, відкривши браузер Chrome, ввівши в адресний рядок такий вміст: chrome://extensions/ і натиснувши Enter. Якщо ця вкладка автоматично закрита, комп'ютер заражений.

Якщо ви не можете видалити його, видаливши файл звичайним способом (або не дуже розбираєтеся в технології), скористайтеся спеціальним антивірусним програмним забезпеченням, щоб «обробити» його в цьому випадку. Деякі сучасні антивірусні програми, які можуть видалити це зловмисне програмне забезпечення для видобутку грошей, включають: Avast (пробна версія) або Kaspersky Antivirus. Перед скануванням на віруси не забудьте оновити форму списку вірусів!

Однак наведені вище методи є лише рішеннями, якщо виникли проблеми зі зловмисним кодом Facebook. Найкращий спосіб запобігти — отримати незнайомі файли від друзів або незнайомців, не поспішаючи натискати на них. Крім того, вам також слід ознайомитися зі статтею про те, як уникнути читання фейкових новин у Facebook, щоб не «потрапити в пастку» будь-якого шахрайства.