CCleaner Hacked Τι πρέπει να ξέρετε
Το CCleaner, το απίστευτα δημοφιλές βοηθητικό πρόγραμμα συντήρησης PC, έχει πειραματιστεί για να συμπεριλάβει κακόβουλο λογισμικό. Εδώ μπορείτε να μάθετε εάν σας επηρεάσατε και τι πρέπει να κάνετε.
Η επίθεση περιγράφηκε έτσι από τους ερευνητές της Cisco Talos: "Η νόμιμη υπογεγραμμένη έκδοση του CCleaner 5.33 ... περιείχε επίσης ένα φορτίο κακόβουλου λογισμικού πολλαπλών σταδίων που οδήγησε στην εγκατάσταση της CCleaner." Η μητρική εταιρεία της CCleaner, Piriform φοβερή εταιρεία προστασίας από ιούς Avast), αναγνώρισε το θέμα σύντομα στη συνέχεια.
Δεδομένου ότι η CCleaner ισχυρίζεται ότι έχει εκατομμύρια λήψεις την εβδομάδα, αυτό είναι δυνητικά σοβαρό πρόβλημα.
Τι κάνει το κακόβουλο λογισμικό?
Το κακόβουλο λογισμικό δεν έβλαψε ενεργά τα συστήματα, αλλά κρυπτογράφησε και συγκέντρωσε πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για να βλάψουν το σύστημά σας στο μέλλον. Συγκεκριμένα, σύμφωνα με την Piriform, δημιούργησε ένα μοναδικό αναγνωριστικό για τον υπολογιστή και συγκέντρωσε:
- Όνομα του υπολογιστή
- Λίστα εγκατεστημένου λογισμικού, συμπεριλαμβανομένων των ενημερώσεων των Windows
- Λίστα διεργασιών που εκτελούνται
- Διευθύνσεις MAC των τριών πρώτων προσαρμογέων δικτύου
- Πρόσθετες πληροφορίες σχετικά με το αν η διαδικασία εκτελείται με δικαιώματα διαχειριστή, είτε πρόκειται για ένα σύστημα 64 bit, κ.λπ..
Μπορείτε να διαβάσετε περισσότερες τεχνικές πληροφορίες σχετικά με την επίθεση στο blog του Cisco Talos και στο ιστολόγιο του Piriform.
Είχα επηρεαστεί?
Ευτυχώς, μοιάζει ότι αυτό το κακόβουλο λογισμικό επηρέασε μόνο ένα συγκεκριμένο υποσύνολο των χρηστών του CCleaner. Συγκεκριμένα, επηρέασε:
- Οι χρήστες που εκτελούν την έκδοση 32-bit της εφαρμογής (όχι την έκδοση 64-bit)
- Οι χρήστες που εκτελούν την έκδοση 5.33.6162 του CCleaner ή του CCleaner Cloud 1.07.3191, κυκλοφόρησαν στις 15 Αυγούστου 2017
Επειδή πολλοί χρήστες πιθανόν χρησιμοποιούν την έκδοση 64-bit της εφαρμογής και το CCleaner Free δεν ενημερώνεται αυτόματα, αυτό είναι καλή είδηση για πολλούς ανθρώπους.
(Εκσυγχρονίζω: Λίγες μέρες μετά την κατάρρευση των ειδήσεων, ανακαλύφθηκε ένα δεύτερο ωφέλιμο φορτίο που επηρέασε τους χρήστες 64-bit - αλλά ήταν μια στοχευμένη επίθεση εναντίον των εταιρειών τεχνολογίας, οπότε είναι απίθανο να επηρεαστούν οι περισσότεροι οικιακοί χρήστες).
Εάν βρίσκεστε σε έκδοση 32 bit των Windows και πιστεύετε ότι ίσως έχετε κατεβάσει το CCleaner κατά τη διάρκεια του επηρεαζόμενου χρονικού πλαισίου, εδώ μπορείτε να ελέγξετε ποια έκδοση έχετε. Ανοίξτε το CCleaner και αναζητήστε στην επάνω αριστερή γωνία του παραθύρου - θα πρέπει να δείτε έναν αριθμό έκδοσης κάτω από το όνομα του προγράμματος.
Εάν αυτή η έκδοση είναι πριν από την έκδοση 5.33.6162, τότε δεν επηρεάζονται και πρέπει να κατεβάσετε με μη αυτόματο τρόπο την πιο πρόσφατη έκδοση τώρα. Εάν αυτή η έκδοση είναι 5.34 ή μεταγενέστερη, η τρέχουσα έκδοση σας δεν επηρεάζεται, αλλά αν έχετε ενημερώσει το CCleaner μεταξύ 15 Αυγούστου και 12 Σεπτεμβρίου και βρίσκεστε σε σύστημα 32 bit, ενδέχεται να έχετε επηρεαστεί. (Εάν είστε άνετοι να μπείτε στο μητρώο, μπορείτε να ανοίξετε τον Επεξεργαστή Μητρώου και να μεταβείτε στο HKLM \ ΛΟΓΙΣΜΙΚΟ \ Piriform
και δείτε αν υπάρχει ένα κλειδί που έχει επισημανθεί Αγκόμο: MUID
. Εάν υπάρχει αυτό το κλειδί, αυτό σημαίνει ότι είχατε το μολυσμένο λογισμικό στο σύστημά σας σε κάποιο χρονικό σημείο.)
Τι πρέπει να κάνω?
Ενώ δεν εντοπίστηκε τίποτα αμέσως επιβλαβές, η Cisco Talos συνιστά την αποκατάσταση του συστήματός σας σε μια πολιτεία πριν από τις 15 Αυγούστου 2017 από ένα αντίγραφο ασφαλείας, αν επηρεάσατε. Ίσως πρέπει να εκτελέσετε μια ανίχνευση ιών και MalwareBytes στο σύστημά σας και τα αντίγραφα ασφαλείας για να βεβαιωθείτε ότι δεν έχει εγκατασταθεί κακόβουλο λογισμικό.
Εναλλακτικά, λένε, μπορείτε να επανεγκαταστήσετε τα Windows εντελώς - ναι, είναι ένα κομμάτι μιας πυρηνικής επιλογής, αλλά είναι ο μόνος τρόπος για να ξέρετε ότι το σύστημά σας είναι καθαρό μετά από ένα τέτοιο γεγονός.