Tādējādi Cisco Talos pētnieki šādu uzbrukumu aprakstīja šādi: likumīgā parakstītā versija CCleaner 5.33… Tāpat bija daudzpakāpju ļaunprātīgas programmatūras kravnesība, kas bija iekļauta CCleaner instalācijas augšdaļā. CCleaner mātes uzņēmums Piriform (kuru nesen nopirka briesmīgs pretvīrusu uzņēmums Avast) šo problēmu īsā laikā atzina.
Tā kā CCleaner apgalvo, ka tai ir miljoniem lejupielādes nedēļā, tas ir potenciāli nopietns jautājums.
Ko dara malware?
Ļaunprātīgā programmatūra aktīvi nekaitēja sistēmām, taču tā šifrēja un vāc informāciju, ko varētu izmantot, lai nākotnē kaitētu jūsu sistēmai. Jo īpaši, saskaņā ar Piriform, tā izveidoja unikālu identifikatoru datoram un savāca:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Jūs varat lasīt vairāk tehniskās informācijas par uzbrukumu Cisco Talos blogā un Piriform emuārā.
Vai es ietekmēju?
Par laimi, šķiet, ka šī ļaunprogramma ietekmēja tikai noteiktu daļu CCleaner lietotāju. Jo īpaši tas ietekmēja:
- Lietotāji, kuri lieto 32 bitu versiju (nevis 64 bitu versiju)
- Lietotāji, kas darbojas ar versiju 5.33.6162 no CCleaner vai CCleaner Cloud 1.07.3191, kas izlaists 2017. gada 15. augustā.
Tā kā daudzi lietotāji, iespējams, lieto 64 bitu lietojumprogrammas versiju, un CCleaner Free netiek automātiski atjaunināts, tas ir labas ziņas daudziem cilvēkiem.
(Atjaunināt: Dažas dienas pēc šīs ziņu izkļūšanas tika atklāta otrā lietderīgā slodze, kas ietekmēja 64 bitu lietotājus - bet tas bija mērķtiecīgs uzbrukums tehnoloģiju uzņēmumiem, tāpēc maz ticams, ka lielākā daļa mājas lietotāju ir cietuši.)
Ja esat 32 bitu Windows versijā un domājat, ka ietekmētā laika perioda laikā, iespējams, esat lejupielādējis CCleaner, ir jāpārbauda, kāda versija jums ir. Atveriet CCleaner un meklējiet loga augšējā kreisajā stūrī - zem programmas nosaukuma jāredz versijas numurs.
HKLMSOFTWAREPiriform
un redziet, vai ir atslēga ar marķējumu
Agomo:MUID
. Ja šī atslēga pastāv, tas nozīmē, ka jūsu sistēmā ir inficēta programmatūra vienā brīdī.)
Ko man darīt?
Kaut arī nekas nekavējoties nav kaitīgs, Cisco Talos iesaka atjaunot jūsu sistēmu līdz 2017. gada 15. augustam no rezerves, ja tiktu ietekmēts. Iespējams, jums ir jāuzstāda pretvīrusu un MalwareBytes skenēšana jūsu sistēmā un jūsu dublējumkopijas, lai nodrošinātu, ka netiek instalēta ļaunprātīga programmatūra.
Kā alternatīvi, viņi saka, jūs varat pilnībā pārinstalēt Windows, jā, tas ir mazliet par kodolieroci, taču tas ir vienīgais veids, kā pilnībā uzzināt, ka jūsu sistēma ir tīra pēc šāda notikuma.
