CCleaner, невероятно популярната помощна програма за поддръжка на компютър, е подложена на хакване, за да включва злонамерен софтуер. Ето как да разберете дали сте засегнати и какво трябва да направите.
Атаката е описана по този начин от изследователи в Cisco Talos: "легитимната подписана версия на CCleaner 5.33 ... също съдържа многофункционален полезен товар за злонамерен софтуер, който се движеше над инсталацията на CCleaner." Компанията-майка на CCleaner, Piriform ужасна антивирусна компания Avast), признава проблема скоро след това.
Тъй като CCleaner твърди, че има милиони изтегляния на седмица, това е потенциално сериозен проблем.
Злонамереният софтуер не е навредил активно на системите, но е криптирал и събирал информация, която би могла да бъде използвана, за да навреди на вашата система в бъдеще. По-специално, според Piriform, той създава уникален идентификатор за компютъра и събира:
- Име на компютъра
- Списък на инсталирания софтуер, включително актуализации на Windows
- Списък на работещите процеси
- MAC адресите на първите три мрежови адаптора
- Допълнителна информация дали процесът се изпълнява с администраторски права, независимо дали е 64-битова система и т.н.
Можете да прочетете повече техническа информация за атаката в блога на Cisco Talos и в блога на Piriform.
За щастие изглежда, че този злонамерен софтуер засяга само определена подгрупа от потребители на CCleaner. По-специално, тя засяга:
Тъй като много потребители вероятно използват 64-битовата версия на приложението и CCleaner Free не се актуализират автоматично, това е добра новина за много хора.
(Актуализация: Няколко дни след разпадането на новините беше открито второ полезно натоварване, което засегна 64-битови потребители - но това беше целенасочена атака срещу технологичните компании, така че е малко вероятно повечето потребители да бъдат засегнати.)
Ако сте на 32-битова версия на Windows и мислите, че може да сте изтеглили CCleaner по време на засегнатия период от време, ето как да проверите каква версия имате. Отворете CCleaner и погледнете в горния ляв ъгъл на прозореца - трябва да видите номер на версията под името на програмата.
Ако тази версия е преди версия 5.33.6162, тогава не сте засегнати и трябва да изтеглите ръчно последната версия сега. Ако тази версия е 5.34 или по-нова, текущата ви версия не е засегната, но ако сте актуализирали CCleaner между 15 август и 12 септември и сте на 32-битова система, може да сте били засегнати. (Ако сте удобни да влизате в системния регистър, можете да отворите редактора на системния регистър и да отидете до HKLM \ SOFTWARE \ Piriform
и вижте дали има маркиран ключ Agomo: MUID
, Ако този ключ съществува, това означава, че сте имали заразения софтуер във вашата система в даден момент.)
Въпреки, че не е открито нищо вредно, Cisco Talos препоръчва да възстановите системата си до държава преди 15 август 2017 г. от резервно копие, ако сте били засегнати. Вероятно трябва да стартирате сканиране на антивирусни и MalwareBytes на системата и архивите си, за да се уверите, че няма инсталиран злонамерен софтуер.
Алтернативно, те казват, че можете да преинсталирате напълно Windows - да, това е малко ядрен вариант, но това е единственият начин да знаете напълно, че вашата система е чиста след подобно събитие.