Ccleaner атака хакеров: Что такое вирус CCleaner и как его удалить?

Содержание

Что такое вирус CCleaner и как его удалить?

CCleaner – это утилита, предназначенная для очистки компьютера от нежелательных файлов. Программа удаляет временные файлы, которые «съедают» дисковое пространство и недействительные ключи реестра Windows. Во время очистки также удаляются вредоносные файлы, спрятавшиеся в системе. В январе 2017 года веб-сайт CNET, посвящённый компьютерным технологиям, присвоил программе рейтинг «Очень хорошо».

Однако в сентябре 2017 года в CCleaner было обнаружено вредоносное ПО. Хакеры внедрили в легитимную программу вредоносный код, предназначенный для кражи данных пользователей. Они превратили инструмент, предназначенный для очистки вашего компьютера от скрытых вредоносных программ, в серьезную угрозу для конфиденциальной и личной информации.

Понимание угрозы

Вредоносная программа состояла из двух троянских программ Trojan.Floxif и Trojan.Nyetya, внедренных в бесплатные версии CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191. Считается, что хакеры взломали среду сборки CCleaner для внедрения в нее вредоносного кода.

Согласно сообщениям из различных источников, вредоносное ПО собирает определенные данные в зараженной компьютерной системе, включая IP-адреса и информацию об установленных и активных приложениях, и отправляет их на сервер злоумышленников, расположенный в Соединенных Штатах.

Avast Piriform – родительская компания и разработчик CCleaner – обнаружила вредоносный код 12 сентября 2017 года и сразу же предприняла шаги по его нейтрализации. Первоначально предполагалось, что масштаб заражения ограничивается вышеупомянутыми версиями, работающими лишь на 32-битных системах Windows и что загрузка обновленных версий программы решит проблему. Считается, что зараженную утилиту скачали более 2 миллионов пользователей.

К сожалению, вскоре выяснилось, что ситуация гораздо серьезнее. Специализирующаяся на безопасности фирма Cisco Talos обнаружила вторую фазу атаки: в списке почти 20 взломанных крупнейших технологических компаний оказались Google, Microsoft, Cisco и Intel, а количество зараженных компьютеров достигло 40.

По данным Wired, «в Cisco утверждают, что получили из неназванного источника, участвующего в расследовании CCleaner, цифровую копию командного сервера хакеров. На сервере была база данных, включающая все взломанные компьютеры, которые «позвонили домой», т.е. на компьютер хакеров с 12 по 16 сентября.

Хотя нет никаких свидетельств, позволяющих с уверенностью назвать ответственного за создание вредоносного ПО CCleaner, следователи обнаружили ссылку на китайскую хакерскую группу Axiom.

В вирусе CCleaner используется такой же код как в утилитах Axiom, а метка времени на зараженном сервере соответствует китайскому часовому поясу. Однако временные метки могут быть изменены или модифицированы, что затрудняет точное определение происхождения.

Учитывая выбор технических целей, есть предположение, что вирус CCleaner может быть частью вредоносной атаки, организованной с «государственной поддержкой». По состоянию на конец 2017 года поиск ответственных за хакерских взлом продолжается.

Как избавиться от вируса CCleaner?

Когда в CCleaner был обнаружен вирус, пользователям рекомендовали перейти на новейшую версию программы, полагая, что это был единичный инцидент, а более поздние версии оставались чистыми. Однако обнаружение второй фазы атаки осложнило и удаление вредоносного кода, и защиту.

Наличие плана аварийного восстановления может оказаться единственным способом, по-настоящему гарантирующему, отсутствие вредоносного ПО CCleaner на вашем компьютере. Эксперты рекомендуют восстанавливать системы до версий резервных копий, созданных до 15 августа, когда появились первые зараженные утилиты.

Инфицированную версию CCleaner следует удалить и запустить антивирусные проверки, чтобы быть уверенным в том, что система очищена. Если вы решите переустановить CCleaner, пользуйтесь самой последней версией или в крайнем случае версией 5.34 или выше.

CCleaner, как известно, является отличным инструментом для устранения вредоносных программ, которые прячутся глубоко в компьютерных системах, но, как показывает инцидент с вирусом CCleaner, даже программы, созданные для защиты наших компьютеров от угроз, не защищены от хакеров.

Статьи и ссылки по теме:

Продукты:

Вирус CCleaner

Kaspersky

Вирус CCleaner – это вредоносная программа, маскирующаяся под популярную утилиту для очистки компьютера CCleaner. Обнаруженный в сентябре 2017 года вирус был создан хакерами для кражи конфиденциальных данных ничего не подозревающих пользователей.

Kaspersky Logo

Опубликованы подробности заражения утилиты CCleaner вредоносным ПО

Опубликованы подробности заражения утилиты CCleaner вредоносным ПО

Компания Avast опубликовала краткую хронику инцидента со взломом Piriform.


В прошлом году популярное программное обеспечение для очистки систем CCleaner подверглось масштабной атаке, в ходе которой хакеры скомпрометировали серверы компании Piriform и заменили легитимную версию утилиты на вредоносную. Вредоносное ПО инфицировало более 2,3 млн пользователей, загрузивших или обновивших CCleaner в период с августа по сентябрь 2017 года с официального сайта.


Как выяснилось позднее, хакерам удалось проникнуть в сеть компании почти за пять месяцев до того, как они заменили официальную сборку CCleaner на версию с бэкдором. Об этом сообщил вице-президент компании Avast и технический директор Ондрей Влчек (Ondrej Vlcek) на конференции по безопасности RSA в Сан-Франциско.


Avast опубликовала подробности инцидента, подробно описав, как и когда неизвестные хакеры взломали сети компании Piriform, создавшей CCleaner и приобретенную Avast в июле 2017 года.


11 марта 2017 года. Атакующие впервые получили доступ к рабочей станции одного из разработчиков CCleaner, который был подключен к сети Piriform, используя удаленное программное обеспечение TeamViewer.


Как полагают в компании, злоумышленники повторно использовали учетные данные разработчика, полученные в результате более ранней утечки, для доступа к учетной записи в TeamViewer и с третьей попытки смогли установить вредоносное ПО при помощи скрипта VBScript.


12 марта 2017 года. Используя зараженное устройство, злоумышленники проникли во второй компьютер, подключенный к той же сети, и создали бэкдор через протокол Windows RDP (служба удаленного рабочего стола).


Используя RDP-доступ, злоумышленники загрузили двоичную и вредоносную полезную нагрузку (вредоносное ПО второго этапа, которое позднее было доставлено на 40 компьютеров, принадлежащих крупным технологическим компаниям) в реестр целевого компьютера.


14 марта 2017 года. Атакующие заразили первый компьютер первой версией вредоносного ПО.


4 апреля 2017 года. Атакующие скомпилировали специальную версию бэкдора ShadowPad, позволяющего злоумышленникам загружать дополнительные вредоносные модули и похищать данные. Данную вредоносную полезную нагрузку, по мнению представителей компании, можно считать третьим этапом атаки на CCleaner.


12 апреля 2017 года. Несколько дней спустя злоумышленники установили полезную нагрузку третьего этапа на четырех компьютерах в сети Piriform (в виде библиотеки mscoree.dll) и на сервере, содержащем версию сборки CCleaner (в качестве библиотеки .NET).


Период с середины апреля по июль 2017 года. В данный период злоумышленники подготовили вредоносную версию CCleaner и попытались проникнуть на другие компьютеры во внутренней сети Piriform, установив кейлоггер на уже скомпрометированные системы с целью хищения учетных данных и авторизации с правами администратора через RDP.


18 июля 2017 года. Компания Avast приобрела Piriform.


2 августа 2017 года. Атакующие заменили исходную версию программного обеспечения CCleaner с официального сайта собственной версией, которая была загружена несколькими миллионами пользователей.


13 сентября 2017 года. Исследователи из Cisco Talos обнаружили вредоносную версию программного обеспечения, которая распространялась через официальный сайт компании более месяца, и сразу же уведомили Avast.


Во вредоносной версии CCleaner было скрыто программное обеспечение, предназначенное для кражи данных с зараженных компьютеров.


В течение трех дней после уведомления об инциденте Avast совместно с ФБР отключила C&C-сервер злоумышленников, однако к этому моменту вредоносная версия CCleaner уже была загружена 2,27 млн пользователями.


Помимо этого, было выявлено, что атакующие смогли установить вредоносную полезную нагрузку второго этапа на 40 компьютерах, принадлежащих крупным международным технологическим компаниям, включая Google, Microsoft, Cisco, Intel, Samsung, Sony, HTC, Linksys, D-Link, Akamai и VMware. В то же время у Avast нет свидельств того, что вредонос ShadowPad был загружен на устройства любой из перечисленных выше компаний.


«Как показало наше расследование, ShadowPad ранее использовался в Южной Корее и в России, где злоумышленники взламывали компьютеры для слежки за денежными операциями. Самый старый вредоносный исполняемый файл, использовавшийся в ходе атаки в России, был создан в 2014 году. Исходя из этих данных можно говорить о том, что ответственная за него группировка может заниматься слежкой за пользователями уже в течение многих лет», — отметили специалисты.

Хакеры инфицировали CCleaner для атак на крупнейшие мировые техкомпании

Хакеры инфицировали CCleaner для атак на крупнейшие мировые техкомпании

Эксперты заподозрили в компрометации CCleaner китайскую хакерскую группировку Axiom.


Хакеры, внедрившие бэкдор в популярную утилиту для очистки и оптимизации жесткого диска CCleaner, также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail).


Как полагают эксперты, к атакам причастна китайская кибергруппировка Axiom, также известная как APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Первым свидетельства связи между вредоносным кодом, встроенным в CCleaner, и группировкой Axiom заметил специалист «Лаборатории Касперского» Костин Раю (Costin Raiu), который указал на сходство бэкдора в утилите с трояном Missl, используемым в атаках Axiom.


Чуть позже исследователи из команды Cisco Talos подтвердили предположение Раю, отметив при этом, что не уверены в причастности Axiom к компрометации CCleaner. Экспертам удалось получить копии файлов C&C-сервера, включая его базу данных, на который инфицированные версии утилиты отправляли собранную информацию (имя компьютера, список установленного ПО, перечень активных процессов, MAC-адреса и идентификаторы). После анализа файлов, специалисты пришли к выводу, что предыдущие отчеты о содержавшемся в CCleaner вредоносном ПО Floxif не соответствуют действительности. Как отмечалось ранее, данный вредонос способен загружать и исполнять дополнительную полезную нагрузку, но, по словам команды Cisco Talos, эта функция никогда не использовалась.


В БД C&C-сервера исследователи обнаружили две таблицы, одна содержала информацию о свыше 700 тыс. компьютерах, вторая – о 20 компьютерах, принадлежавших крупным технологическим компаниям, в том числе Samsung, Sony и Akamai. Записи в обеих таблицах датированы периодом с 12 по 16 сентября нынешнего года. По словам специалистов, злоумышленники выбирали жертв по доменному имени компьютера и по меньшей мере 20 из них инфицировали дополнительным вредоносным ПО. Примечательно, что в числе прочих крупных техкомпаний хакеры пытались атаковать и саму Cisco. 




Эксперты уже предупредили затронутые компании о возможных утечках данных.


В компании Avast пока никак не прокомментировали ситуацию.


CCleaner — утилита для очистки и оптимизации жесткого диска. По состоянию на ноябрь 2016 года она была загружена 2 млрд раз и каждую неделю число загрузок увеличивается еще на 5 млн. Разработчиком утилиты является фирма Piriform, которую в 2017 году приобрела компания Avast Software.

Хакеры атаковали CCleaner — ReadWeb



Хакеры атаковали CCleaner — ReadWeb — актуальные новости дня

 
Меню

  • Наука
  • Здоровье
  • Культура
  • Шоу-бизнес
  • Авто
  • Космос
  • Мода
  • Красота
  • Кулинария
  • Стиль
  • Гороскоп
  • Здоровье
    Здоровье

    • Назад
    • Здоровье
  • Красота
    Красота

    • Назад
    • Красота
  • Кулинария
    Кулинария

    • Назад
    • Кулинария
  • Мода
    Мода

    • Назад
    • Мода
  • Стиль
    Стиль

    • Назад
    • Стиль

Закрыть

Хакеры
использовали уязвимость в CCleaner для атаки на системы крупных компаний

Хакеры, которые в августе взломали популярный оптимизатор системы CCleaner, также пытались атаковать системы Microsoft, Intel и других крупных технологических компаний. Об этом рассказали исследователи Cisco.

Из этого следует, что взлом, описанный Piriform, разработчиком CCleaner, был гораздо серьёзнее, чем предполагалось изначально. Компания заявила, что злоумышленники не успели нанести вред компьютерам пользователей, однако версии программного обеспечения с уязвимостью были установлены у более чем двух миллионов человек.

Через эти версии ПО хакеры могли наладить прямую связь с вредоносными сайтами. Тем не менее, Avast, купившая Piriform в июле, быстро приняла необходимые меры и совместно с исследователями и правоохранительными органами закрыла сервер, на который должны были попадать пользовательские данные.

Теперь Cisco, одна из компаний, уведомивших Avast об атаке, обнаружила на этом сервере доказательства того, что хакеры установили дополнительное вредоносное ПО на группу как минимум из 20 компьютеров. Достоверно не известно, кому эти компьютеры принадлежали, но исследователи выяснили, что злоумышленники собирались атаковать ряд крупных компаний. Среди них — Samsung, Sony, Akamai и сама Cisco.

Хакеры могли использовать дыру в CCleaner как точку опоры для кражи технологических секретов этих компаний, рассказал исследователь Cisco Крейг Уильямс (Craig Williams). Также они могли попытаться внедрить вредоносный код в популярные продукты этих производителей.

Avast рассказала, что инфицирована была крайне небольшая часть целевых компьютеров. Компания уже связалась с их владельцами.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

Стали известны последствия хакерской атаки на CCleaner

Старые версии программы для оптимизации работы компьютера – CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 – были заражены вирусом.

Как сообщили в британской компании-разработчике Piriform, эти утилиты были установлены примерно у 2,27 млн человек.

В результате взлома на расположенный в США сервер передавались имя компьютера, данные об установленных и активных программах, IP-адрес и список сетевых адаптеров.

Как только чужеродный код был обнаружен, Piriform удалила зараженные программные файлы с загрузочных сайтов. Все пользователи получили уведомление о необходимости обновить CCleaner до безопасной версии.

Американские власти заблокировали доступ к серверу, куда приходили конфиденциальные сведения; проводится расследование.

Создатели CCleaner уверяют, что информация, полученная злоумышленниками, не представляет большой важности.

Ранее стало известно, что хакеры похитили данные о 143 млн американцев из Бюро кредитных историй Equifax.

Читайте нас в Яндексе

Автор:
Александр Никитин

Взлом CCleaner связали с кибершпионской группой Axiom и атаками на крупные технологические компании

Ранее на этой неделе стало известно о том, неизвестные преступники скомпрометировали популярное приложение CCleaner, использующееся для оптимизации и «чистки» ОС семейства Windows. По данным разработчиков, в ходе атаки пострадали более 2 млн пользователей, так как компрометация произошла 15 августа 2017 года, но вплоть до 12 сентября 2017 года взлом оставался незамеченным, а вместе с CCleaner распространялась малварь Floxif. Заражению подверглись 32-битные варианты CCleaner 5.33.6162 и CCleaner Cloud 1.07.3191.

Теперь ИБ-специалисты сообщают, что атака, скорее всего, была не так проста и осуществлялась профессиональной группой «правительственных хакеров», которая известна под названием Axiom (также группировку называют APT17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda).

Первым о связи взлома CCleaner с операциями Axiom заговорил Костин Райю (Costin Raiu), глава международной исследовательской команды «Лаборатории Касперского». В своем твиттере эксперт обратил внимание на тот факт, что код малвари, использовавшейся в ходе атаки на CCleaner, очень похож на исходный код бэкдора Missl, который ранее обнаруживали во время кампаний Axiom.

The malware injected into #CCleaner has shared code with several tools used by one of the APT groups from the #Axiom APT ‘umbrella’.

— Costin Raiu (@craiu) September 19, 2017

С теорией эксперта согласны и его коллеги из Cisco Talos. Исследователи опубликовали детальный отчет, согласно которому «группа 72» вполне могла стоять за взломом CCleaner. Скриншот ниже наглядно демонстрирует сходства исходников, вызвавшие подозрения у специалистов.

Кроме того, аналитики Cisco Talos заявляют, что неназванная третья сторона предоставила в их распоряжение файлы с управляющего сервера злоумышленников, включая БД. Именно на этот сервер поступали данные, собранные скомпрометированными версиями CCleaner (информация о системе, запущенных процессах, MAC-адресах сетевых устройств и уникальные ID комплектующих). Специалисты пишут, что они проверили подлинность информации, сопоставив ее с данными, собранными с их собственных тестовых машин. Стоит отметить, что в распоряжении экспертов оказались данные только за 12-16 сентября 2017 года (причем данные за 12 сентября, судя по всему, были повреждены).

Анализ этой информации показал, что сведения о малвари Floxif, которая распространялась вместе с CCleaner, оказались неточными. Напомню, что официальные сообщения гласили, что вредонос способен скачивать и запускать дополнительные бинарники, но ни один зараженный хост не подвергся второй фазе атаки. Как выяснилось, злоумышленники все-таки загрузили дополнительные пейлоады как минимум на 20 разных хостов. 12-16 сентября к управляющему серверу обращались свыше 700 000 машин, и более 20 из них подверглись второй стадии заражения.

На втором этапе злоумышленники идентифицировали подходящие для продолжения атаки системы, на которые в итоге доставлялся незатейливый бэкдор. Он получал IP-адреса посредством поисковых запросов к github.com и wordpress.com, после чего скачивал на устройство дополнительную малварь.

Интересно, что атакующие вычисляли подходящих жертв по доменным именам их компьютеров. На управляющем сервере обнаружился длинный список, в котором специалисты Cisco нашли и свою компанию. Помимо Cisco преступников интересовали: Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), а также Microsoft и Google (Gmail). Исследователи уже связались со всеми потенциально пострадавшими организациями и предупредили их о возможных проблемах.

Аналитики предупреждают, что в теории преступники могли добраться и до других крупных компаний и учреждений. Дело в том, что простой SQL-запрос показал, что 540 скомпрометированных CCleaner компьютеров находятся в правительственных сетях, и еще 51 устройство принадлежит банкам.

«Это наглядно демонстрирует уровень доступа, который атакующие получили посредством данной инфраструктуры и связанной с ней малвари, а также ярко подчеркивает опасность и потенциальный вред такого рода атак», — пишут специалисты Cisco Talos.

Теперь эксперты настоятельно рекомендуют всем пострадавшим не просто обновить CCleaner до безопасных версий CCleaner 5.34 и 1.07.3214 для CCleaner Cloud. Учитывая, что вторая фаза атаки все же сработала в ряде случаев, эксперты советуют полное восстановление системы из резервной копии, сделанной до 15 августа 2017 года (то есть до момента компрометации утилиты).

хакеров атакуют «огромное количество» устройств в рамках программной атаки CCleaner Cloud — RT World News

Хакеры внедрили скрытый бэкдор в программу для очистки файлов CCleaner, которая имеет более двух миллиардов загрузок, что вызвало опасения, что миллионы устройств могут быть затронуты взломом.

Вирус был обнаружен исследователями технической безопасности, и пользователям приложения рекомендовано немедленно обновить свое программное обеспечение.

Приложением обслуживания управляет британская компания Piriform, дочерняя компания Avast, одной из крупнейших в мире антивирусных компаний.

ПРОЧИТАЙТЕ БОЛЬШЕ: Северная Корея подозревается во взломе биткойн-бирж, чтобы обойти санкции

«Мы хотели бы извиниться за инцидент безопасности, который мы недавно обнаружили в CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191 , » Пол Юнг из Piriform сказал в заявлении.

«Мы также немедленно связались с правоохранительными органами и работали с ними над решением проблемы».

Компания добавила, что мошеннический сервер не работает и другие потенциальные серверы находятся вне контроля злоумышленника.

«Атаки на цепочки поставок — очень эффективный способ распространения вредоносного программного обеспечения среди целевых организаций», — пояснила в своем блоге Talos группа аналитики угроз Cisco, .

«Это связано с тем, что при атаках на цепочку поставок злоумышленники полагаются на доверительные отношения между производителем или поставщиком и покупателем.

«Эти доверительные отношения затем используются для атак на организации и отдельных лиц и могут осуществляться по ряду различных причин.

Талос отмечает, что сложная атака может быть серьезной из-за «чрезвычайно большого числа» систем, которые могут быть затронуты.

В ноябре прошлого года приложение CCleaner было загружено более 2 миллиардов раз, по данным компании, и устанавливается пользователями настольных компьютеров со скоростью 5 миллионов в неделю.

«Если даже небольшая часть этих систем будет скомпрометирована, злоумышленник сможет использовать их для любого количества злонамеренных целей», — добавил Талос.

В блоге Talos отмечается, что природа кода атаки предполагает, что хакер получил доступ к машине, используемой для создания CCleaner.

Эксперты по вирусам заявили, что пораженные системы необходимо переустановить или восстановить до состояния до 15 августа.

«На данном этапе мы не хотим гадать, как появился неавторизованный код в программном обеспечении CCleaner, где произошла атака. исходил из того, как долго он готовился и кто за этим стоял. Расследование все еще продолжается », — сказал Юнг из Piriform.

.

Взлом CCleaner оказался намного хуже, чем мы думали — вот как это исправить — BGR

Несколько дней назад эксперты по кибербезопасности выявили, что хакеры использовали продукт для обеспечения безопасности ПК, что позволило злоумышленникам установить вредоносное ПО на зараженные компьютеры. Avast, компания-учредитель фирмы, которая производит CCleaner, заявила, что нет никаких реальных причин для беспокойства и что уже доступно безопасное обновление для решения проблемы. Однако во втором отчете группы Talos говорится, что первоначальная атака оказалась намного хуже, чем предполагалось изначально, поэтому вам, возможно, придется предпринять дополнительные шаги, чтобы защитить себя..

По всей видимости, злоумышленники установили на зараженные компьютеры второе вредоносное приложение, нацеленное на определенный список доменов. По словам Талоса, в список целей включены технологические корпорации, включая HTC, Samsung, Sony, VMWare, Intel, Microsoft, Cisco, Linksys, Google, MSI и многие другие.

«Интересно, что указанный массив содержит домен Cisco (cisco.com) вместе с другими известными технологическими компаниями», — написала компания по безопасности. «Это предполагает наличие очень целенаправленного актера после ценной интеллектуальной собственности.”

Бэкдор CCleaner затронул почти 2,3 миллиона пользователей, но неясно, сколько из них получили вторую полезную нагрузку. Талос говорит, что он обнаружил только 20 машин, подвергшихся специализированной вторичной атаке.

Если вы считаете, что пострадали от взлома дома или на работе, вам следует обновить CCleaner до последней доступной версии и рассмотреть другие шаги по удалению любых потенциальных вредоносных программ, которые все еще могут находиться на ваших дисках. Это то, что Талос рекомендовал с самого начала.

«Эти новые данные вызывают у нас озабоченность по поводу этих событий, поскольку элементы нашего исследования указывают на возможного неизвестного, искушенного актера», — заявили в компании. «Эти результаты также подтверждают и подтверждают нашу предыдущую рекомендацию о том, что те, кто пострадал от этой атаки на цепочку поставок, не должны просто удалить затронутую версию CCleaner или обновить ее до последней версии, но должны восстановить из резервных копий или повторно создать образ системы, чтобы гарантировать, что они полностью удаляют не только резервная версия CCleaner, а также любые другие вредоносные программы, которые могут находиться в системе.”

Avast подтвердил вторую полезную нагрузку в сообщении в блоге, в котором подробно описывается атака:

Наконец, для нас чрезвычайно важно решить проблему с машинами клиентов. Для потребителей мы поддерживаем рекомендацию обновить CCleaner до последней версии (теперь 5.35, после того как мы отозвали сертификат подписи, используемый для подписи затронутой версии 5.33) и использовать качественный антивирус, например Avast Antivirus. Для корпоративных пользователей решение может быть другим и, вероятно, будет зависеть от корпоративных ИТ-политик.На данном этапе мы не можем утверждать, что корпоративные машины не могли быть скомпрометированы, даже если атака была целенаправленной.

Крис Смит начал писать о гаджетах как хобби, и, прежде чем он это осознал, он поделился своими взглядами на технические вещи с читателями по всему миру. Когда он не пишет о гаджетах, ему с треском не удается держаться от них подальше, хотя он отчаянно пытается. Но это не обязательно плохо.

.

CCleaner взломан вредоносным ПО для кражи данных: что делать дальше

ОБНОВЛЕНО 21 сентября с новостями о том, что внедрение вредоносных программ, по всей видимости, использовалось в целях промышленного шпионажа.

CCleaner, инструмент для оптимизации системы с более чем 2 миллиардами загрузок по всему миру, используется многими пользователями Windows, Mac и Android, которые хотят, чтобы их устройства работали как можно быстрее. К сожалению для них, похоже, что хакеры решили внедрить свой собственный код в недавнюю сборку CCleaner для Windows в попытке украсть данные и, возможно, заразить системы пользователей еще большим количеством вредоносных приложений.

Атака была осуществлена ​​путем подключения к CCleaner путем проникновения на серверы, распространяющие программное обеспечение, заразив версию 5.33 утилиты Windows и версию 1.07 ее облачного дочернего приложения. Эти серверы принадлежали Piriform, лондонской компании, создавшей CCleaner. В июле этого года Piriform была приобретена пражским производителем антивирусов Avast.

(Изображение предоставлено: pathdoc / Shutterstock)

Если вы обновили CCleaner с 15 августа и используете 32-битную Windows, вы можете быть заражены.Вам следует вернуться к состоянию до августа. 15 снимок вашей системы или запустить сканирование на наличие вредоносных программ. Выполнив один (или оба) из этих шагов, посетите сайт Piriform, чтобы загрузить и установить последнюю чистую версию CCleaner.

ПОДРОБНЕЕ: Лучшая антивирусная защита для ПК, Mac и Android

В отчете об этой атаке из блога Talos Intelligence технологической компании Cisco отмечается, что зараженные версии CCleaner наблюдались «совсем недавно, 11 сентября», и что они предупредили Avast выпуска от 13 сентября.Однако до этого Пириформ уже знал, что происходит что-то подозрительное.

В сообщении блога Пола Юнга, вице-президента по продуктам Piriform, исполнительный директор отметил, что 12 сентября его компания наблюдала подозрительную активность с «неизвестного IP-адреса, получающего данные от программного обеспечения, обнаруженного в версии 5.33.6162 CCleaner», что привело к к Piriform, отключившему сервер. Эта передача данных от CCleaner оказалась вредоносной программой, идентифицированной как Floxif, которая звонила домой на его командно-управляющие серверы.

Зараженная версия CCleaner, 5.33 для Windows был доступен для загрузки 15 августа, а его очищенная версия, версия 5.34, — 12 сентября. Зараженная версия CCleaner Cloud стала доступна 24 августа, а чистая версия — 15 сентября. Версии CCleaner для Mac и Android не пострадали.

Представитель Avast сообщила Reuters, что 2,27 миллиона пользователей загрузили зараженную версию CCleaner и что 5 000 установок CCleaner Cloud получили зараженное обновление для этого программного обеспечения.

Если вы используете CCleaner версии 5.33, в которой номер версии указан в верхнем левом углу интерфейса, лучшим вариантом может быть откат вашей системы Windows к моментальному снимку, сделанному до 15 августа, поскольку ваша система может были скомпрометированы с тех пор. По крайней мере, убедитесь, что ваше собственное антивирусное программное обеспечение обновлено.

Те, у кого нет возможности восстановления резервной копии, должны проверить, установлен ли у них CCleaner 5.33. Юнг отмечает, что Piriform обновляет все версии своего программного обеспечения до не вредоносных, но пользователи могут скачать новую копию здесь.

Хотя CCleaner — очень популярное приложение, которое требует 5 миллионов загрузок в неделю, эта зараженная версия не поразила бы всех этих пользователей. Бесплатная версия CCleaner должна обновляться вручную. Однако CCleaner также встроен в некоторые версии антивирусного программного обеспечения Avast, в которых он автоматически обновляется. CCleaner Cloud также обновляется автоматически.

Подобные случаи, когда программное обеспечение для оптимизации системы или антивирусное программное обеспечение заражено вредоносным ПО, особенно опасны, поскольку эти программы используют системные привилегии глубокого уровня и могут нанести больший ущерб, чем почти любое другое программное обеспечение.Что еще более важно, взломанная версия CCleaner была подписана законной копией сертификата разработчика Piriform, который не должен был быть доступен злоумышленникам.

К счастью, влияние этой уязвимой версии CCleaner может быть смягчено не только отсутствием автоматических обновлений. Вредоносная программа Floxif заражает только 32-битные системы Windows, и большинство компьютеров, проданных за последние 5 лет, работают под управлением 64-битной Windows.

Что касается того, кто стоит за этой атакой и как они заразили официальные версии CCleaner, Talos еще ничего не выпустил, а Yung не предоставляет никаких других подробностей.

ОБНОВЛЕНО 21 сентября: Дальнейший анализ вредоносного ПО, внедренного в программу обновления CCleaner, и серверы управления вредоносным ПО убедительно указывает на то, что взлом CCleaner был попыткой промышленного шпионажа.

Если машина была заражена CCleaner, говорится в новом отчете Cisco, командно-контрольный сервер проверит, не попал ли зараженный компьютер во внутреннюю сеть какой-либо технологической компании из целевого списка, который включены Google, Cisco, Samsung, Sony, Epson, D-Link, HTC, Linksys и другие.Затем сервер доставит на зараженную машину «бэкдор» для дальнейшего использования.

Ни китайские, ни российские компании не были в целевом списке.

.

Что такое вредоносное ПО CCleaner и как его удалить?

CCleaner — это служебная программа, предназначенная для удаления ненужных файлов с компьютера. Программа избавляется от временных файлов, занимающих дисковое пространство, и недействительных ключей реестра Windows. Во время очистки также удаляются зарытые в системе вредоносные файлы. В январе 2017 года CNET поставил программе оценку «Очень хорошо».

Однако в сентябре 2017 года была обнаружена вредоносная программа CCleaner. Хакеры взяли легитимную программу и вставили вредоносный код, предназначенный для кражи данных у пользователей.Они превратили инструмент, предназначенный для очистки вашего компьютера от скрытых вредоносных программ, в серьезную угрозу для конфиденциальной и личной информации.

Понимание угрозы

Вредоносная программа состояла из двух троянских программ — Trojan.Floxif и Trojan.Nyetya, включенных в бесплатные версии CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191. Считается, что хакеры взломали среду сборки CCleaner, чтобы вставить вредоносное ПО.

По разным данным, вредоносная программа способна собирать определенные данные из зараженной компьютерной системы, включая IP-адреса и информацию об установленном и активном программном обеспечении, и отправлять их на сторонний сервер, расположенный в США.

Компания-учредитель

CCleaner, Avast Piriform, обнаружила вредоносное ПО 12 сентября 2017 г. и немедленно приняла меры для устранения проблемы. Первоначально компания полагала, что она ограничена указанными выше версиями, работающими в 32-разрядных системах Windows, и что загрузка обновленных версий программы решит проблему. Считается, что более 2 миллионов пользователей были заражены.

К сожалению, вскоре компания обнаружила, что заражение вредоносным ПО оказалось более серьезным, чем предполагалось изначально.Полезная нагрузка второй ступени была обнаружена Cisco Talos. Эта полезная нагрузка была нацелена примерно на 20 крупнейших технологических компаний, включая Google, Microsoft, Cisco и Intel, и заразила 40 компьютеров.

Согласно Wired, «Cisco заявляет, что получила цифровую копию командно-административного сервера хакеров из неназванного источника, участвовавшего в расследовании CCleaner. Сервер содержал базу данных о каждом компьютере с резервной защитой, который« позвонил домой »на машина хакеров с 12 по 16 сентября ».

Хотя нет никаких окончательных доказательств, идентифицирующих сторону, ответственную за вредоносное ПО CCleaner, следователи обнаружили связь с китайской хакерской группой, известной как Axiom.

Вредоносная программа CCleaner имеет общий код с инструментами, используемыми Axiom, а отметка времени на взломанном сервере соответствует часовому поясу Китая; однако отметки времени можно изменять или модифицировать, что затрудняет точное определение источника.

В сочетании с выбором технических целей это вызвало опасения, что вредоносное ПО CCleaner могло быть частью атаки, спонсируемой государством.По состоянию на конец 2017 года расследование виновности взлома продолжается.

Как избавиться от вредоносного ПО CCleaner?

Когда вредоносная программа CCleaner была впервые обнаружена, пользователям посоветовали перейти на последнюю версию программы, полагая, что это был единичный инцидент, а более поздние версии были безопасными. Однако обнаружение полезной нагрузки второй ступени усложнило удаление и защиту.

Наличие плана аварийного восстановления может быть единственным способом действительно гарантировать, что ваш компьютер не заражен вредоносным ПО CCleaner.Исследователи рекомендуют восстанавливать системы до версий из резервных копий, выпущенных до 15 августа, когда были выпущены первые зараженные инструменты.

Зараженную версию CCleaner следует удалить и запустить антивирусное сканирование, чтобы убедиться в чистоте системы. Если вы решите переустановить CCleaner, это должна быть самая последняя доступная версия или, по крайней мере, версия 5.34 или выше.

CCleaner известен как отличный инструмент для устранения вредоносных программ, которые прячутся глубоко в компьютерных системах, но, как показывает инцидент с вредоносным ПО CCleaner, даже программы, созданные для защиты наших компьютеров от угроз, не защищены от хакеров.

Статьи по теме:

Связанные товары:

CCleaner Malware

Kaspersky

CCleaner Malware — это вредоносная программа под названием CCleaner, замаскированная под легальное программное обеспечение. Обнаруженное в сентябре 2017 года вредоносное ПО CCleaner было разработано хакерами для кражи конфиденциальных данных у ничего не подозревающих пользователей.

Kaspersky Logo.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *