EDIT: 15:20 (sepsán souhrn v prvním příspěvku).
Ahoj,
začal jsem zde s příspěvkem ohledně CCleaneru a jeho možné bezpečnostní hrozby (starší verze CCleaneru - CCleaner 5.33.6162 and CCleaner Cloud 1.07.3191)
CCleaner byl podle všeho v jedné ze svých verzí napadený nebezpečným kódem:
https://www.zive.cz/clanky/hacknuty-ccleaner-je-mnohem-zakernejsi-nez-se-zdalo-update-na-novou-verzi-nestaci-provedte-obnovu-systemu/sc-3-a-189628/default.aspx
https://www.cnews.cz/deravy-ccleaner-byl-nakonec-zakernejsi-cisco-doporucuje-obnovu-systemu-ze-zalohy/
https://technet.idnes.cz/vir-a-ccleaner-0dw-/software.aspx?c=A170918_114459_tec-kratke-zpravy_vse
Oficiální blog společnosti Avast, která Piriform nyní vlastní:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation
Útok byl mířen na firemní sféru, ale nakažený samozřejmě může být kdokoliv, kdo zmiňovanou verzi měl.
Avast doporučuje instalovat nejnovější verzi CCleaneru, což by mělo stačit pro soukromé uživatele:
"For consumers, we stand by the recommendation to upgrade CCleaner to the latest version (now 5.35, after we have revoked the signing certificate used to sign the impacted version 5.33) and use a quality antivirus product, such as Avast Antivirus."
Firemním se doporučuje samozřejmě aktualizovat také a je zmiňovaná návaznost na IT pravidla společností:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."
Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
"These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system."
Mnohokrát bylo také zmiňované, že se jedná pouze o 32bitovou kopii aplikace, což také není pravda:
"The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product."
Jak si s tím poradit je pěkne popsáno také v příspěvku na bleepingcomputer - díky jaro3
https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/
CCleaner - bezpečnostní hrozba (informace)
CCleaner - bezpečnostní hrozba (informace)
Naposledy upravil(a) Polki dne 22 zář 2017 15:27, celkem upraveno 2 x.
Who let the dogs out?!
Re: CCleaner - napadení
Ano psalo se tu už o tom že nefungoval Facebook.
Ano mají pravdu skutečně stačí nainstalovat novou verzi a projet počítač Antivirem, ale pozor ne smart, nebo doporučená kontrola, ale úplnou kontrolu PC trvá to i klidně několik hodin.
Ano mají pravdu skutečně stačí nainstalovat novou verzi a projet počítač Antivirem, ale pozor ne smart, nebo doporučená kontrola, ale úplnou kontrolu PC trvá to i klidně několik hodin.
Photoshop, AutoCAD, Excel - Kontingenční tabulky, WebDesign
Jestli potřebuješ poradit, neváhej napsat, když bude v mých silách ti pomoct? Rád pomůžu
Jestli potřebuješ poradit, neváhej napsat, když bude v mých silách ti pomoct? Rád pomůžu
-
- Level 4
- Příspěvky: 1359
- Registrován: únor 14
- Bydliště: Jižní Morava
- Pohlaví:
- Stav:
Offline
Re: CCleaner - napadení
Ty hňupe,než začneš vyvolávat hysterii a obavy,tak si o tom nejprve něco zjisti.
Cílem byly firemní uživatelé 32-bitové verze.
Cílem byly firemní uživatelé 32-bitové verze.
Re: CCleaner - napadení
Než začneš někoho nazývat hňupem tak se nad sebou trochu zamysli. Nejde o to kdo je cílem, ale o to, jaký PC je napaden. Takže všichni kdo si napadený soft stáhli a nainstalovali do PC, tak jsou v ohrožení. A to nebyli jenom firemní uživatelé.
Polki: já vždy udržuji zálohu registrů 30 dní zpět, takže pokud se něco děje, tak vyčistím PC (to nativiry zvládnou) nebo to udělám ručně. A obnovím registr ze zálohy, to je taková jistota, kterou doporučuji.
Polki: já vždy udržuji zálohu registrů 30 dní zpět, takže pokud se něco děje, tak vyčistím PC (to nativiry zvládnou) nebo to udělám ručně. A obnovím registr ze zálohy, to je taková jistota, kterou doporučuji.
Re: CCleaner - napadení
behavioralista:
Klidně mě nazývej hňupem, už mi říkali i hůř.
Ale abych odpověděl na tvůj komentář. Nemyslím si, že vyvolávám paniku, jen jsem prezentoval informace ohledně možného bezpečnostního rizika a to především z webu avastu:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation
Jak zmínil atari: je vlastně úplně jedno, jestli jsi firemní nebo soukromí uživatel, prostě jsi byl nakažen. I Avast se ve zmíněných textech výše nezaměřuje jen na firemní klientelu. Text o ní jsem záměrně vynechal, ale je tam také:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."
Něco si nejprve zjisti? Ano, zjistil jsem si to, že Avast doporučuje instalovat nejnovější verzi CCleaneru a tím to hasne. Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
A po tom, co jsem si něco zjistil, jsem šel na toto fórum pro radu. A doufám, že tento topic pomůže i ostatním.
atari Díky za informace.
Dodatečně přidáno po 1 minutě 24 vteřinách:
behavioralista
Jen pro tvoji informaci ještě doplním, že nešlo jen o 32bitovou kopii aplikace.
The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product.
Klidně mě nazývej hňupem, už mi říkali i hůř.
Ale abych odpověděl na tvůj komentář. Nemyslím si, že vyvolávám paniku, jen jsem prezentoval informace ohledně možného bezpečnostního rizika a to především z webu avastu:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation
Jak zmínil atari: je vlastně úplně jedno, jestli jsi firemní nebo soukromí uživatel, prostě jsi byl nakažen. I Avast se ve zmíněných textech výše nezaměřuje jen na firemní klientelu. Text o ní jsem záměrně vynechal, ale je tam také:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."
Něco si nejprve zjisti? Ano, zjistil jsem si to, že Avast doporučuje instalovat nejnovější verzi CCleaneru a tím to hasne. Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
A po tom, co jsem si něco zjistil, jsem šel na toto fórum pro radu. A doufám, že tento topic pomůže i ostatním.
atari Díky za informace.
Dodatečně přidáno po 1 minutě 24 vteřinách:
behavioralista
Jen pro tvoji informaci ještě doplním, že nešlo jen o 32bitovou kopii aplikace.
The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product.
Who let the dogs out?!
- jaro3
- člen Security týmu
-
Guru Level 15
- Příspěvky: 43067
- Registrován: červen 07
- Bydliště: Jižní Čechy
- Pohlaví:
- Stav:
Offline
Re: CCleaner - bezpečnostní hrozba (informace)
CCleaner Malware Incident - What You Need to Know and How to Remove
https://www.bleepingcomputer.com/how-to ... to-remove/
https://www.bleepingcomputer.com/how-to ... to-remove/
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host