使用Facebook Messenger传播锁定勒索软件的垃圾邮件发送者

正在进行的Facebook垃圾邮件活动正在Facebook用户中传播恶意软件下载程序，利用看似无辜的SVG图像文件感染计算机。

如果点击，该文件最终会用令人讨厌的Locky勒索软件感染你的电脑，这是一个恶意软件家族，由于其感染能力，它很快成为犯罪分子最喜欢的工具之一。

该攻击活动由恶意软件研究人员巴特·布雷兹发现，它使用Facebook Messenger传播一个名为Nemucod的恶意软件下载程序，其形式为。SVG图像文件。

为什么是SVG文件？黑客认为SVG（或可缩放矢量图形）文件是传播恶意软件下载程序的工具，因为SVG能够包含JavaScript等嵌入式内容，并且可以在现代网络浏览器中打开。

骗子们在图像文件本身中添加了恶意JavaScript代码，该文件实际上是指向外部文件的链接。

如果点击，恶意图像文件会将你重定向到一个模仿YouTube的网站，但URL完全不同。

就像典型的恶意软件感染方式一样，该网站会弹出一个弹出窗口，要求你下载并在谷歌Chrome中安装某个编解码器扩展，以便观看视频。恶意扩展使用了两个名称，Ubo和一个。

一旦安装，该扩展使攻击者能够更改有关他们访问的网站的数据，并利用浏览器对你的Facebook帐户的访问，以使用相同的SVG图像文件秘密向你的所有Facebook好友发送消息。

更糟的是什么？Blaze的另一位恶意软件研究人员和同事彼得·克鲁斯（Peter Kruse）指出，在某些情况下，包含Nemucod下载程序的SVG图像文件最终会在受害者的PC上下载Locky勒索软件的副本。

Locky勒索软件是最流行的勒索软件之一，它使用RSA-2048和AES-1024加密算法锁定受害者计算机上的所有文件，并解锁这些文件，直到向攻击者支付赎金。

目前尚不清楚SVG文件是如何绕过Facebook的文件白名单扩展名过滤器的，但谷歌和Facebook的安全团队已经收到了攻击通知。

如何删除恶意扩展？

虽然谷歌已经从其Chrome商店中删除了恶意扩展，但Facebook有望很快将其完全屏蔽。

更新：Facebook的一名发言人向《黑客新闻》提供了一份声明，内容如下：

“我们维护了一些自动化系统，以帮助阻止有害链接和文件出现在Facebook上，我们已经从我们的平台上屏蔽了这些链接和文件。在我们的调查中，我们确定这些实际上不是安装Locky恶意软件—；而是与Chrome扩展相关。我们报告了坏的浏览器扩展与有关各方的关系紧张。"

他还说，声称这个恶意Chrome扩展安装了Locky恶意软件的说法是不正确的。此外，该公司认为，此次攻击对Facebook的影响非常有限，因为它需要额外的步骤才能将软件安装到受害者的浏览器或计算机上。

如果你是被骗安装两个恶意扩展之一的人之一，你可以立即删除它。

要删除有问题的分机，只需进入菜单→；更多工具→；扩展，检查扩展并将其移除。

然而，如果你运气不好，你最终会得到锁紧的勒索软件，恢复文件的唯一方法是：定期备份。否则，你就完了！

Blaze建议，“和往常一样，当有人只给你发了一张‘图片’时，尤其是当他或她通常不会这样做时，要小心。”