CCleaner був зламаний, що потрібно знати
CCleaner, неймовірно популярна утиліта для обслуговування ПК, була зламана, щоб включити шкідливе програмне забезпечення. Ось як дізнатися, чи вплинули вони, і що ви повинні робити.
Напад описувався таким чином дослідниками Cisco Talos: «законна підписана версія CCleaner 5.33… також містила багатоступінчастий зловмисний ресурс, який їздив на вершині встановлення CCleaner». Страшна антивірусна компанія Avast), визнала проблему незабаром після цього.
Оскільки CCleaner стверджує, що має мільйони завантажень на тиждень, це потенційно серйозна проблема.
Що робить шкідлива програма?
Зловмисне програмне забезпечення не завдало шкоди системам, але він шифрував та збирав інформацію, яка може бути використана для того, щоб завдати шкоди вашій системі в майбутньому. Зокрема, згідно з Piriform, він створив унікальний ідентифікатор для комп'ютера і зібрав:
- Назва комп'ютера
- Список встановленого програмного забезпечення, включаючи оновлення Windows
- Список запущених процесів
- MAC-адреси перших трьох мережевих адаптерів
- Додаткова інформація про те, чи виконується процес з правами адміністратора, чи є це 64-розрядна система тощо.
Більше технічної інформації про атаку можна прочитати в блозі Cisco Talos і в блозі Piriform.
Я був постраждалий?
На щастя, схоже, що цей зловмисний код вплинув лише на певну частину користувачів CCleaner. Зокрема, це вплинуло на:
- Користувачі, які використовують 32-розрядну версію програми (не 64-розрядну версію)
- Користувачі з версією 5.33.6162 CCleaner або CCleaner Cloud 1.07.3191, випущені 15 серпня 2017 року
Оскільки багато користувачів, ймовірно, використовують 64-розрядну версію програми, а CCleaner Free не оновлюється автоматично, це гарна новина для багатьох людей.
(Оновлення: Через кілька днів після того, як ця новина вийшла з ладу, виявлено другу корисну навантаження, яка торкнулася 64-бітних користувачів, але це була цілеспрямована атака на технологічні компанії, тому малоймовірно, що більшість домашніх користувачів постраждали.
Якщо ви перебуваєте на 32-розрядної версії Windows і думаєте, що ви завантажили CCleaner під час пошкодженого періоду часу, ось як перевірити, яку версію ви маєте. Відкрийте CCleaner і подивіться у верхньому лівому куті вікна - ви побачите номер версії під назвою програми.
Якщо ця версія існує до версії 5.33.6162, це не вплине на вас, і вам слід вручну завантажити останню версію. Якщо ця версія 5.34 або пізніша, ваша поточна версія не впливає, але якщо ви оновили CCleaner між 15 серпня і 12 вересня, і знаходяться в 32-розрядної системи, ви все одно могли бути порушені. (Якщо вам зручно входити до реєстру, можна відкрити редактор реєстру і перейти до HKLM ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ
і перевірте, чи є ключ з позначкою Agomo: MUID
. Якщо цей ключ існує, це означає, що інфіковане програмне забезпечення у вашій системі в один момент часу.)
Що я повинен зробити?
Хоча нічого не було негайно виявлено, Cisco Talos рекомендує відновити вашу систему до стану до 15 серпня 2017 року з резервної копії, якщо вас це торкнулося. Можливо, у вашій системі та резервних копіях слід запустити сканування антивірусу та MalwareBytes, щоб переконатися, що не встановлено зловмисне програмне забезпечення.
Крім того, вони кажуть, ви можете перевстановити Windows повністю - так, це трохи ядерної опції, але це єдиний спосіб повністю дізнатися, чи ваша система чиста після події, як ця.