Facebook-viruksen poisto-opas
Mikä on Facebook?
Facebook-virus on yleisnimi kaikille Facebookin sosiaaliseen verkkoon liittyville viruksille. Facebookiin liittyvien haittaohjelmien luettelo on melko pitkä. Nämä virukset leviävät tyypillisesti Facebook messengerin kautta – rikolliset kaappaavat satunnaisia käyttäjätilejä ja levittävät viruksia yksityisviestien kautta. Huomaa, että näiden virusten käyttäytyminen ei ole identtistä.
Kuten edellä mainittiin, Facebookin sosiaalisen verkoston kautta levitetään runsaasti haittaohjelmia. Vaikka käyttäytyminen vaihtelee, suurimmalla osalla näistä haittaohjelmista on ainakin yksi yhteinen piirre: ne tallentavat tyypillisesti arkaluonteisia tietoja (näppäinpainalluksia, kirjautumisia/salasanoja jne.) Totesimme myös, että nämä virukset leviävät tyypillisesti satunnaisten käyttäjätilien avulla. Verkkorikolliset suunnittelevat haitallisia skriptejä kaappaamaan Facebook-tilit ja lähettämään erilaisia linkkejä kaikille yhteystiedoille. Useimmissa tapauksissa nämä linkit näyttävät laillisilta, koska rikolliset lisäävät myös tekstiä ja hymiöitä tehdäkseen viesteistä uskottavampia ja ystävällisempiä. Itse asiassa näiden linkkien napsauttamisen jälkeen käyttäjien ystävät vierailevat usein haitallisilla verkkosivustoilla tai suorittavat muita komentosarjoja, jotka saastuttavat heidän tietokoneensa ja verkkoselaimensa. Joissakin tapauksissa käyttäjät ohjataan petollisille sivustoille, jotka tarjoavat ”fantastisia tarjouksia”, mutta rikolliset käyttävät näitä sivustoja vain kiristääkseen rahaa pahaa-aavistamattomilta käyttäjiltä ja/tai varastamaan luottamuksellisia tietoja. Lisäksi joitakin Facebook-viruksia levitetään Facebook-seinillä olevien viestien avulla. Kaapatut Facebook-tilit julkaisevat harhaanjohtavia viestejä omilla (tai ystävien) aikajanoillaan, mutta kuten yksityisviesteissä, myös näissä viesteissä on linkkejä haitallisille sivustoille. Tulos on identtinen.
Vanhempi, suosittu esimerkki Facebook-viruksesta on ”Ryanair Scam”. Ensimmäisen kerran vuonna 2016 julkaistu huijausmalli on yksinkertainen: käyttäjät saavat viestin, jossa kerrotaan, että Ryanair-lentoyhtiö juhlii 35-vuotissyntymäpäiväänsä ja siksi käyttäjät voivat muka voittaa liput kahteen ilmaiseen lentoon. Tämä yhtiö perustettiin vuonna 1994, joten ”Raynair Scam” -julkaisun aikaan lentoyhtiö oli 32-vuotias. Postaus sisältää väärennetyn Ryanairin logolla varustetun maihinnousukortin ja ohjaa erilaisille muille haitallisille sivustoille, jotka kehottavat käyttäjiä täyttämään lomakkeita, joissa vaaditaan henkilökohtaisia tietoja. Pahaa aavistamattomia käyttäjiä huijataan usein ja he todella antavat nämä tiedot, jolloin heidän yksityisyytensä vaarantuu – verkkorikolliset voivat helposti käyttää henkilökohtaisia tietoja (esim. pankkitietoja jne.) väärin tarkoituksenaan hankkia tuloja.
Toinen suosittu Facebook-virus on nimeltään ”Ray Ban Scam”. Rikolliset levittävät yksityisviestejä, joissa on haitallisia linkkejä, jotka mainostavat epäilyttäviä verkkosivustoja, jotka muka myyvät Ray Ban -silmävaatteita erittäin edullisesti, mutta maksun lähettämisen jälkeen käyttäjät eivät kuitenkaan saa mitään vastineeksi ja menettävät rahansa. Useimmissa tapauksissa tämän viruksen tartunnan saaneiden käyttäjien tietokoneisiin on asennettu eräänlainen ”keygen” (joka kerää erilaisia salasanoja ja lähettää ne verkkorikollisten palvelimille). Tämä haittaohjelma käyttää myös kaapattuja tilejä näiden verkkosivustojen mainostamiseen (se luo esimerkiksi tapahtumia, keskusteluryhmiä, julkaisee tarjouksia aikajanalla ja merkitsee uhrien ystäviä jne.) Jos kyseessä on tällainen tartunta, vaihda välittömästi tilisi salasanat ja peruuta kaikki lähetetyt maksut/tapahtumat.
| Nimi | Facebook-haittaohjelma |
| Uhkaustyyppi | Troijalainen, Salasanan varastava virus, Phishing-haittaohjelma, Vakoiluohjelmat |
| Suhteessa oleva(t) verkkotunnus(t) | m.facebook.com-vm-auwlyduxgo.brahimsfoodcom |
| Oireet | Troijalaiset on suunniteltu soluttautumaan vaivihkaa uhrin tietokoneeseen ja pysymään äänettömänä, joten tartunnan saaneessa koneessa ei näy selvästi mitään erityisiä oireita. |
| Menetelmät | Tartunnan saaneissa sähköpostin liitetiedostoissa, haitallisissa verkkomainoksissa, sosiaalisessa insinööritoiminnassa, ohjelmistojen halkeamisissa. |
| Vahingot | Varastetut pankkitiedot, salasanat, identiteettivarkaus, uhrin tietokone lisätty botnetiin. |
| Haittaohjelmien poisto (Windows) |
Eristäksesi mahdolliset haittaohjelmatartunnat, skannaa tietokoneesi laillisella virustorjuntaohjelmalla. Tietoturvatutkijamme suosittelevat Malwarebytesin käyttöä. |
Ensimmäisenä Etelä-Koreassa havaittu uusin (ja luultavasti kehittynein) Facebook-virus on suunniteltu saastuttamaan tietokoneet kryptovaluuttoja louhivalla haittaohjelmalla nimeltä Digmine. Haittaohjelman katsotaan nyt kuitenkin olevan maailmanlaajuinen ongelma. Verkkorikolliset levittävät Digminea yksityisviestien välityksellä. Se kohdistuu vain käyttäjiin, jotka käyttävät Google Chrome -selainta tai Messenger-työpöytäsovelluksia (mobiililaitteita käyttävät käyttäjät eivät voi saada tartuntaa). Rikolliset kaappaavat käyttäjätilit ja lähettävät viestin kaikille yhteystiedoille. Viesti sisältää ”video_.zip”-tiedoston (esim. ”video_5833.zip”). Muita käyttäjiä tyypillisesti huijataan luulemaan, että kyseessä on pakattu videotiedosto, mutta kyseessä on kuitenkin haitallinen suoritettava tiedosto, joka avaamisen jälkeen muodostaa yhteyden kehittäjien Command and Control (C&C) -palvelimeen ja käynnistää tartuntaketjun, joka lähinnä lataa useita tiedostoja (haitalliset Google Chrome -liitetiedostot ja Digmine-louhija). Ohjelma asentaa sitten vaivihkaa haitalliset laajennukset ja ajaa tai käynnistää uudelleen Google Chromen (huomaa, että se toimii vain, jos käyttäjä ylläpitää ”Pysy kirjautuneena sisään” -toimintoa). Lisäksi komentosarja määrittää automaattisen käynnistyksen asetukset Digminerille, joten se käynnistyy automaattisesti jokaisen järjestelmän käynnistyksen yhteydessä. Laajennusta käytetään haitallisten zip-tiedostojen jatkuvaan levittämiseen. Lisäksi Digminer käyttää järjestelmän resursseja väärin Monero-kryptovaluutan louhimiseen. Kaikki nämä toimet suoritetaan ilman käyttäjien suostumusta. Lisäksi louhinta kuluttaa paljon järjestelmäresursseja, mikä lyhentää vasteaikoja niin paljon, että järjestelmän käyttö käy mahdottomaksi, kun taas muut sovellukset kaatuvat tai eivät edes lataudu. Jos tietokoneeseen on tarttunut tämä haittaohjelma, nollaa Google Chrome -selain välittömästi (haitalliset laajennukset estävät yleensä käyttäjiä poistamasta asennettuja laajennuksia, joten nollaus on paras vaihtoehto) ja skannaa järjestelmäsi laillisella virustorjuntaohjelmalla. Suosittelemme myös lukemaan artikkelin Kryptovaluutan louhintavirukset.
Miten Facebook-virukset tunkeutuivat tietokoneeseeni?
Kuten edellä mainittiin, Facebook-viruksia levitetään usein yksityisviestien tai harhaanjohtavien Facebook-postausten kautta. Molemmat sisältävät yleensä linkkejä haitallisille verkkosivustoille tai skripteille (jotka on tallennettu eri palvelimille). Monet käyttäjät klikkaavat linkkejä, varsinkin kun ne ovat läheisten ystävien lähettämiä tai lähettämiä. Facebook-virusten mainostamien linkkien napsauttaminen altistaa järjestelmät erilaisten tartuntojen riskille ja vaarantaa käyttäjien yksityisyyden.
Miten vältät haittaohjelmien asentamisen?
Tilanteen välttämiseksi ole hyvin varovainen avatessasi Facebookissa mainostettuja sivuja. Jos ystävä lähettää yksityisviestin tai julkaisee epäilyttävän linkin Facebook-seinälläsi, sinun kannattaa ehdottomasti vaatia vahvistusta, onko linkki laillinen. Lähetä ystävällesi viesti varmistaaksesi, että vierailet vain laillisilla sivustoilla – jos ystäväsi ei vastaa, älä koskaan napsauta mitään mainostettua linkkiä. Huomaa, että nämä viestit sisältävät yleensä henkilökohtaista tekstiä tai kuvia (esim. profiilikuvasi). Viestissä voi esimerkiksi lukea ”Hei *käyttäjän nimi*, oletko se todella sinä?” yhdessä linkin kanssa, joka johtaa tuntemattomalle verkkosivustolle. Rikolliset käyttävät tällaista tekstiä saadakseen roskapostiviestit näyttämään laillisilta. Sinua kehotetaan myös käyttämään Facebookin asiakaspalvelun antamia vinkkejä tilin turvallisuudesta. Pidä asennetut sovellukset ajan tasalla ja käytä laillista virustorjunta- ja vakoiluohjelmapakettia. Tietokoneen turvallisuuden avain on varovaisuus. Jos uskot, että tietokoneesi on jo saanut tartunnan, suosittelemme skannauksen suorittamista Malwarebytes for Windows -ohjelmalla tunkeutuneen haittaohjelman poistamiseksi automaattisesti.
Luettelo esimerkeistä muista Facebook-viruksista:
”Onnittelut! Facebook on valinnut profiilisi” Huijaus;
”Sivusi poistetaan” Virus;
Facebook ”Follow Me” Huijaus;
Facebook ”hahaha” Virus;
Facebook Automatic Wall Post Virus;
Facebook Change Color Virus;
Facebook Child Porn Virus;
Facebook French Tech Support Scam;
Facebook Friend Request Virus ;
Facebook Message Virus;
Facebook Money Scam;
Facebook Stalker Virus;
Facebook Suspension Virus;
Facebook Video Virus;
Faceliker Virus;
Invitation Facebook Virus;
Jayden K. Smith Scam;
Kuvakaappauksia harhaanjohtavista viesteistä, joissa mainostetaan erilaisia Facebook-viruksia tai -huijauksia:
Kuvakaappaus haitallisesta verkkosivustosta, joka on naamioitu aidoksi Facebookin kirjautumissivuksi. Erilaisia linkkejä klikattuaan käyttäjät ohjataan samankaltaisille sivuille, joissa pyydetään ”vahvistamaan henkilöllisyys” kirjautumalla sisään. Tämäntyyppiset sivustot tallentavat syötetyn käyttäjätunnuksen/salasanan tietokantaan, ja verkkorikolliset pääsevät heti käsiksi uhrin tiliin. Haitalliset verkkosivustot voidaan erottaa toisistaan kahdella tavalla: 1) niiden ulkoasu saattaa poiketa hieman aidosta ja; 2) URL-osoite (verkkotunnus) on satunnainen (tyypillisesti pitkä) merkkijono, ei aito facebook.com (ks. esimerkki alla):
Tekstin esittäminen tällä sivustolla:
Facebook-tilin vahvistus
Rakas käyttäjä,
Facebook-tilisi on vahvistettava tänään välttyäksesi poistolta! Tämä prosessi on nopea ja kaikkien käyttäjiemme on tehtävä se ylimääräisenä turvatoimenpiteenä. Jos et vahvista tiliäsi tänään, sitä rajoitetaan ja sen jälkeen se poistetaan käytöstä!
Screenshot saman sivuston toiselta sivulta:
| Nimi | m.facebook.com-vm-auwlyduxgo.brahimsfoodcom |
| Uhkatyyppi | Väärennetty Facebook-kirjautumissivusto, phishing-sivusto. |
| Havaintojen nimet | G-Data (Phishing), Sophos AV (Malicious), Täydellinen havaintoluettelo (VirusTotal) |
| Serving IP Address | 101.99.66.162 |
| Sibling Domains | mail.brahimsfoodcom, server.brahimsfoodcom, webdisk.brahimsfoodcom, webmail.brahimsfoodcom |
| Oireet | Näkyy mainoksia, jotka eivät ole peräisin sivustoilta, joita selaat. Tunkeilevia ponnahdusikkunamainoksia. Internetin selausnopeuden aleneminen. |
| Levitysmenetelmät | Hämäriä ponnahdusikkunamainoksia, mahdollisesti ei-toivottuja sovelluksia (adware) |
| Vahingot | Tietokoneen suorituskyvyn aleneminen, selaimen seuranta – yksityisyydensuojaongelmia, mahdollisia ylimääräisiä haittaohjelmatartuntoja. |
| Haittaohjelmien poisto (Windows) |
Tarkista tietokoneesi laillisella virustorjuntaohjelmalla mahdollisten haittaohjelmatartuntojen poistamiseksi. Tietoturvatutkijamme suosittelevat Malwarebytesin käyttöä. |
Esimerkki Facebook-aiheisesta roskapostiviestistä, jossa mainostetaan kyseenalaista sivustoa (a1bum_fac3book.es-esicu):
Sisällössä esitettävä teksti:
Subject: Facebook – A sua conta foi temporariamente bloqueada por razões de segurança
Caro utilizador,Alguém noticiou recentemente uma foto no seu álbum do Facebook.
Os dados de imagem comunicados: IMG_20170103_162800.jpg – Data: 21/06/2020 às 15:50
Uma imagem no seu álbum foi acusada de conter conteúdo inadequado. Se não concordar que o conteúdo é inadequado ou pornográfico, acesse o link and remova a bandeira de violacão ou de objecção.
Accessar o link, você terá accesso ao usuário que denunciou seu álbum.
Faça login no link abaixo para remover o sinalizador de violação imediatamente.
VER IMAGEM RELATADA
INFORMAÇÕES DO RECLAMANTEFacebook, Inc. ATTN: Privacy Operations 1601 Willow Road Menlo Park, CA 94025
Automaattinen haittaohjelmien poisto: Uhkien poistaminen manuaalisesti saattaa olla pitkä ja monimutkainen prosessi, joka vaatii edistynyttä tietokonetaitoa. Malwarebytes on ammattimainen automaattinen haittaohjelmien poistotyökalu, jota suositellaan haittaohjelmista eroon pääsemiseksi. Lataa se napsauttamalla alla olevaa painiketta:
▼ DOWNLOAD MalwarebytesLataamalla tällä verkkosivustolla lueteltuja ohjelmistoja hyväksyt tietosuojakäytäntömme ja käyttöehtomme. Jos haluat käyttää täysimittaista tuotetta, sinun on ostettava Malwarebytes-lisenssi. Saatavilla on 14 päivän ilmainen kokeiluversio.
Pikavalikko:
- Mikä on Facebook?
- VAIHE 1. Facebook-haittaohjelman poistaminen manuaalisesti.
- VAIHE 2. Tarkista, onko tietokoneesi puhdas.
Miten poistaa haittaohjelmat manuaalisesti?
Manuaalinen haittaohjelmien poisto on monimutkainen tehtävä, yleensä on parempi antaa virustorjunta- tai haittaohjelmien torjuntaohjelmien tehdä se automaattisesti. Tämän haittaohjelman poistamiseen suosittelemme Malwarebytes for Windows -ohjelmaa. Jos haluat poistaa haittaohjelman manuaalisesti, ensimmäinen vaihe on tunnistaa poistettavan haittaohjelman nimi. Tässä on esimerkki käyttäjän tietokoneella käynnissä olevasta epäilyttävästä ohjelmasta:
Jos tarkistit tietokoneella käynnissä olevien ohjelmien luettelon esimerkiksi Tehtävienhallinnan avulla ja tunnistit epäilyttävältä näyttävän ohjelman, sinun kannattaa jatkaa seuraavilla ohjeilla:
Lataa Autoruns-niminen ohjelma. Tämä ohjelma näyttää automaattisesti käynnistyvät ohjelmat, rekisterin ja tiedostojärjestelmän sijainnit:
Käynnistä tietokone vikasietotilaan:
Windows XP:n ja Windows 7:n käyttäjät: Käynnistä tietokone vikasietotilassa. Valitse Käynnistä, valitse Sammuta, valitse Käynnistä uudelleen ja valitse OK. Paina tietokoneen käynnistyksen aikana näppäimistön F8-näppäintä useita kertoja, kunnes näyttöön tulee Windows Advanced Option -valikko, ja valitse sitten luettelosta Safe Mode with Networking (vikasietotila verkkoyhteydellä).
Video, jossa näytetään Windows 7:n käynnistäminen ”vikasietotilassa verkkoyhteydellä”:
Windows 8:n käyttäjät: Käynnistä Windows 8 vikasietotilassa verkkoyhteydellä – Mene Windows 8:n aloitusnäyttöön, kirjoita Advanced (Lisäasetukset), valitse hakutuloksista Settings (Asetukset). Napsauta Advanced startup options (Lisäasetukset), valitse avautuneessa ”General PC Settings” (Yleiset PC-asetukset) -ikkunassa Advanced startup (Lisäasetukset). Napsauta ”Käynnistä uudelleen nyt” -painiketta. Tietokoneesi käynnistyy nyt uudelleen ”Advanced Startup options -valikkoon”. Napsauta ”Vianmääritys”-painiketta ja sitten ”Lisäasetukset”-painiketta. Napsauta lisäasetusten näytössä ”Käynnistysasetukset”. Napsauta ”Restart”-painiketta. Tietokoneesi käynnistyy uudelleen Käynnistysasetukset-näyttöön. Paina F5-näppäintä käynnistyäksesi vikasietotilassa verkottumisen kanssa.
Video, jossa näytetään, miten Windows 8 käynnistetään ”vikasietotilassa verkostoitumisen kanssa”:
Windows 10:n käyttäjät: Napsauta Windows-logoa ja valitse Virta-kuvake. Napsauta avautuneessa valikossa ”Restart” (Uudelleenkäynnistys) pitäen samalla näppäimistön ”Shift”-painiketta painettuna. Valitse ”Valitse vaihtoehto” -ikkunassa ”Vianmääritys” ja valitse seuraavaksi ”Lisäasetukset”. Valitse lisäasetukset-valikosta ”Käynnistysasetukset” ja napsauta ”Uudelleenkäynnistys”-painiketta. Seuraavassa ikkunassa sinun tulee napsauttaa näppäimistön ”F5”-painiketta. Tämä käynnistää käyttöjärjestelmän uudelleen vikasietotilassa verkkoyhteyden kanssa.
Video, jossa näytetään, miten Windows 10 käynnistetään ”vikasietotilassa verkkoyhteyden kanssa”:
Pura ladattu arkisto ja suorita Autoruns.exe-tiedoston.
Klikkaa Autoruns-sovelluksessa yläreunasta ”Asetukset” ja poista valinnat ”Piilota tyhjät sijainnit” ja ”Piilota Windowsin merkinnät”. Tämän toimenpiteen jälkeen napsauta ”Päivitä”-kuvaketta.
Tarkista Autoruns-sovelluksen tarjoama luettelo ja etsi haittaohjelmatiedosto, jonka haluat poistaa.
Kirjoita ylös sen koko polku ja nimi. Huomaa, että jotkin haittaohjelmat piilottavat prosessiensa nimet laillisten Windows-prosessien nimien alle. Tässä vaiheessa on erittäin tärkeää välttää järjestelmätiedostojen poistamista. Kun olet löytänyt epäilyttävän ohjelman, jonka haluat poistaa, napsauta hiiren kakkospainikkeella sen nimen päällä ja valitse ”Poista”
Poistettuasi haittaohjelman Autoruns-sovelluksen kautta (näin varmistat, että haittaohjelma ei käynnisty automaattisesti seuraavalla järjestelmäkäynnistyksellä), etsi haittaohjelman nimi tietokoneesta. Muista ottaa piilotetut tiedostot ja kansiot käyttöön ennen jatkamista. Jos löydät haittaohjelman tiedoston, muista poistaa se.
Käynnistä tietokone uudelleen normaalitilassa. Näiden vaiheiden noudattamisen pitäisi auttaa poistamaan haittaohjelmat tietokoneestasi. Huomaa, että uhkien poistaminen manuaalisesti vaatii kehittyneitä tietokonetaitoja, on suositeltavaa jättää haittaohjelmien poisto virustorjunta- ja haittaohjelmien torjuntaohjelmille. Nämä vaiheet eivät ehkä toimi edistyneissä haittaohjelmatartunnoissa. Kuten aina, on parempi välttää tartunnan saamista kuin yrittää poistaa haittaohjelmia jälkikäteen. Pitääksesi tietokoneesi turvassa muista asentaa viimeisimmät käyttöjärjestelmäpäivitykset ja käytä virustorjuntaohjelmia.
Voidaksesi olla varma, ettei tietokoneessasi ole haittaohjelmatartuntoja, suosittelemme sen skannaamista Malwarebytes for Windows -ohjelmalla.