Атака была описана исследователями Cisco Talos: «законная подписанная версия CCleaner 5.33.,. Также содержалась многоступенчатая полезная нагрузка вредоносного ПО, которая находилась на вершине установки CCleaner ». Материнская компания CCleaner, Piriform (которая недавно была куплена ужасной антивирусной компанией Avast), вскоре подтвердила этот вопрос.
Поскольку CCleaner утверждает, что в неделю есть миллионы загрузок, это потенциально серьезная проблема.
Что делает вредоносное ПО?
Вредоносная программа не активно вредила системам, но она шифровала и собирала информацию, которая может быть использована для нанесения вреда вашей системе в будущем. В частности, согласно Piriform, он создал уникальный идентификатор для компьютера и собрал:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Вы можете прочитать дополнительную техническую информацию об атаке в блоге Cisco Talos и в блоге Piriform.
Был ли я затронут?
К счастью, похоже, что это вредоносное ПО затрагивало только определенные подмножества пользователей CCleaner. В частности, это сказалось на:
- Пользователи, на которых запущена 32-разрядная версия приложения (а не 64-разрядная версия)
- Пользователи, запускающие версию 5.33.6162 CCleaner или CCleaner Cloud 1.07.3191, выпущенные 15 августа 2017 года
Поскольку многие пользователи, вероятно, используют 64-битную версию приложения, а CCleaner Free не обновляется автоматически, это хорошая новость для многих людей.
(Обновить: Через несколько дней после того, как эта новость сломалась, была обнаружена вторая полезная нагрузка, которая затронула 64-битных пользователей, но это была целенаправленная атака на технические компании, поэтому маловероятно, что большинство домашних пользователей пострадали.)
Если вы находитесь на 32-разрядной версии Windows и считаете, что можете загрузить CCleaner в течение затронутого таймфрейма, вот как проверить, какая у вас версия. Откройте CCleaner и посмотрите в верхнем левом углу окна - вы увидите номер версии под именем программы.
HKLMSOFTWAREPiriform
и посмотрите, есть ли обозначенный ключ
Agomo:MUID
Если этот ключ существует, значит, у вас есть зараженное программное обеспечение в вашей системе в один момент времени.)
Что я должен делать?
Хотя ничего не было обнаружено сразу, Cisco Talos рекомендует восстановить систему до 15 августа 2017 года из резервной копии, если вы были затронуты. Вероятно, вы должны запустить проверку антивируса и MalwareBytes в своей системе и резервные копии, чтобы убедиться, что вредоносная программа не установлена.
В качестве альтернативы, говорят они, вы можете полностью переустановить Windows - да, это немного ядерный вариант, но это единственный способ полностью понять, что ваша система чиста после такого события.
