CCleaner, niezwykle popularne narzędzie do konserwacji komputerów, zostało zhakowane, aby zawierać złośliwe oprogramowanie. Oto, jak sprawdzić, czy jesteś dotknięty chorobą i co powinieneś zrobić.
Atak został opisany przez badaczy z Cisco Talos: "legalna podpisana wersja programu CCleaner 5.33 ... zawierała także wielostopniowy ładunek szkodliwego oprogramowania, który działał na szczycie instalacji CCleaner." Firma macierzysta CCleaner, Piriform (która niedawno została kupiona przez straszna firma antywirusowa Avast), przyznała, że problem wkrótce potem.
Ponieważ CCleaner twierdzi, że pobiera miliony pobrań tygodniowo, jest to potencjalnie poważny problem.
Szkodliwe oprogramowanie nie wyrządziło szkodliwej szkody systemom, ale zaszyfrowało i zebrało informacje, które mogą zostać wykorzystane do uszkodzenia systemu w przyszłości. W szczególności, zgodnie z Piriform, stworzył unikalny identyfikator komputera i zebrał:
- Nazwa komputera
- Lista zainstalowanego oprogramowania, w tym aktualizacji systemu Windows
- Lista uruchomionych procesów
- Adresy MAC pierwszych trzech kart sieciowych
- Dodatkowe informacje, czy proces jest uruchomiony z uprawnieniami administratora, czy jest to system 64-bitowy itp.
Więcej informacji technicznych na temat ataku można znaleźć na blogu Cisco Talos i na blogu Piriform.
Na szczęście wygląda na to, że to złośliwe oprogramowanie dotyczyło tylko pewnego podzbioru użytkowników CCleaner. Dotyczyło to w szczególności:
Ponieważ wielu użytkowników prawdopodobnie używa 64-bitowej wersji aplikacji, a CCleaner Free nie aktualizuje się automatycznie, jest to dobra wiadomość dla wielu osób.
(Aktualizacja: Kilka dni po tym, jak ta wiadomość się zepsuła, wykryto drugą szkodę, która dotyczyła użytkowników 64-bitowych, ale był to ukierunkowany atak na firmy technologiczne, więc jest mało prawdopodobne, że dotknęło to większość użytkowników domowych).
Jeśli korzystasz z 32-bitowej wersji systemu Windows i uważasz, że możesz pobrać program CCleaner w czasie, którego dotyczy ten problem, zapoznaj się z tym, jak sprawdzić posiadaną wersję. Otwórz CCleaner i spójrz w lewym górnym rogu okna - pod nazwą programu powinien pojawić się numer wersji.
Jeśli ta wersja jest wcześniejsza niż wersja 5.33.6162, nie ma na nią wpływu, a teraz należy ręcznie pobrać najnowszą wersję. Jeśli ta wersja ma 5.34 lub nowszą wersję, nie ma to wpływu na obecną wersję, ale jeśli zaktualizowałeś CCleaner w okresie od 15 sierpnia do 12 września i jesteś w systemie 32-bitowym, nadal możesz mieć na nie wpływ. (Jeśli nie chcesz wchodzić do rejestru, możesz otworzyć Edytor rejestru i przejść do niego HKLM \ SOFTWARE \ Piriform i zobacz, czy jest tam klucz oznaczony Agomo: MUID . Jeśli ten klucz istnieje, oznacza to, że w danym momencie miałeś zainfekowane oprogramowanie w swoim systemie.)
Podczas gdy nie wykryto niczego natychmiastowego szkodliwego, Cisco Talos zaleca przywrócenie systemu do stanu sprzed 15 sierpnia 2017 r. Z kopii zapasowej, jeśli został on dotknięty. Prawdopodobnie należy uruchomić skanowanie antywirusowe i MalwareBytes w systemie i kopie zapasowe, aby upewnić się, że nie zainstalowano żadnego złośliwego oprogramowania.
Ewentualnie mówią, że możesz całkowicie przeinstalować system Windows - tak, jest to raczej opcja jądrowa, ale jest to jedyny sposób, aby całkowicie wiedzieć, że twój system jest czysty po takim wydarzeniu.
