Tento útok bol popísaný výskumníkmi spoločnosti Cisco Talos: "legitímne podpísaná verzia CCleaner 5.33., "tiež obsahoval viacstupňový užitočný škodlivý softvér, ktorý bol na vrchole inštalácie CCleaner." Materská spoločnosť CCleaner, Piriform (ktorá bola nedávno zakúpená strašnou antivírusovou spoločnosťou Avast), krátko po tom uviedla problém.
Keďže spoločnosť CCleaner tvrdí, že má týždenne milióny stiahnutí, je to potenciálne vážny problém.
Čo robí malware?
Škodlivý softvér aktívne nepoškodil systémy, ale šifroval a zhromažďoval informácie, ktoré by mohli byť použité na poškodenie vášho systému v budúcnosti. Najmä podľa Piriformu vytvoril pre počítač jedinečný identifikátor a zhromaždil sa:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Ďalšie technické informácie o útoku nájdete na blogu spoločnosti Cisco Talos a na blogu spoločnosti Piriform.
Bol som postihnutý?
Našťastie sa zdá, že tento škodlivý softvér ovplyvnil iba určitú podmnožinu používateľov CCleaner. Konkrétne to ovplyvnilo:
- Používatelia, ktorí používajú 32-bitovú verziu aplikácie (nie 64-bitovú verziu)
- Používatelia, ktorí používajú verziu 5.33.6162 CCleaner alebo CCleaner Cloud 1.07.3191, vydané 15. augusta 2017
Keďže mnohí používatelia pravdepodobne používajú 64-bitovú verziu aplikácie a CCleaner Free sa automaticky neaktualizuje, je to dobrá správa pre mnoho ľudí.
(aktualizovať: Niekoľko dní po tom, čo sa táto správa rozpadla, bolo objavené druhé užitočné zaťaženie, ktoré ovplyvnilo 64-bitových používateľov - ale bolo to cielený útok proti technológiám, takže je nepravdepodobné, že by sa väčšina domácich používateľov dotkla.)
Ak ste na 32-bitovej verzii systému Windows a myslíte si, že ste počas príslušného časového obdobia prevzali CCleaner, postupujte podľa toho, akú verziu máte. Otvorte aplikáciu CCleaner a pozrite sa do ľavého horného rohu okna - pod názvom programu by ste mali vidieť číslo verzie.
HKLMSOFTWAREPiriform
a uvidíte, či je kľúč označený
Agomo:MUID
Ak tento kľúč existuje, znamená to, že ste nainštalovaný infikovaný softvér v systéme naraz.)
Čo mám robiť?
Zatiaľ čo sa nepodarilo nájsť nič bezprostredne škodlivé, spoločnosť Cisco Talos odporúča obnoviť váš systém do stavu pred 15. augustom 2017 zo zálohy, ak by ste boli postihnutí. Pravdepodobne by ste mali spustiť antivírusové a MalwareBytes skenovanie na vašom systéme a zálohovanie, aby ste zaistili, že nainštalovaný malvér.
Inak povedané, môžete úplne preinštalovať systém Windows - áno, je to trochu jadrová možnosť, ale je to jediný spôsob, ako úplne vedieť, že váš systém je čistý po takejto udalosti.
