Osoby, które padły ofiarą agresywnego wirusa, otrzymywały wiadomości z załącznikiem o nazwie wskazującej, ze jest to plik zdjęciowy. Był on zapisany w formacie .svg, a w każdym przypadku nazwa pliku rozpoczynała się od "photo_xxxx.svg", gdzie zamiast "xxxx" występował losowy ciąg cyfr.
Po pobraniu pliku następuje sekwencja przekierowań, a jeżeli użytkownik postępuje zgodnie z instrukcjami, trafia na portal przypominający serwis YouTube. Tam z kolei pojawia się wiadomość o potrzebie zainstalowania dodatkowego "kodeka video", a strona podsuwa do pobrania złośliwy dodatek do przeglądarki. Dodatek "Ubo" uzyskuje pełne uprawnienia do wszystkich witryn, które są otwierane w przeglądarce. Umożliwia to prowadzenie dalszych ataków z kont ofiary, a także kradzież danych.
Jak sobie radzić?
Rozszerzenia nie da się usunąć z poziomu przeglądarki. Jak informuje portal Niebezpiecznik.pl, jedyną możliwością jest usunięcie wtyczki ręcznie. W przypadku korzystania z przeglądarki Chrome, najpierw należy przejść do jej katalogu w systemie, a następnie odnaleźć plik o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“ w katalogu:
- użytkownicy Windows 7, 8.1, i 10:C:UsersAppDataLocalGoogleChromeUser DataDefault
- użytkownicy - Mac OS X El Capitan:Users//Library/Application Support/Google/Chrome/Default
- użytkownicy Linux:/home//.config/google-chrome/default
Kolejnym krokiem jest wyłączenie przeglądarki, przejście do katalogu “Extensions” i usunięcie katalogu o nazwie “jegjfinhocnmomhpgmnbjambmgbifjbg“. Serwis Niebezpiecznik.pl rekomenduje również wymianę haseł oraz wylogowanie się z serwisów, z których użytkownicy korzystali podczas pobierania pliku. Więcej informacji oraz screeny na stronie Niebezpiecznik.pl