PC-HELP.CZ

EDIT: 15:20 (sepsán souhrn v prvním příspěvku).

Ahoj,
začal jsem zde s příspěvkem ohledně CCleaneru a jeho možné bezpečnostní hrozby (starší verze CCleaneru - CCleaner 5.33.6162 and CCleaner Cloud 1.07.3191)

CCleaner byl podle všeho v jedné ze svých verzí napadený nebezpečným kódem:
https://www.zive.cz/clanky/hacknuty-ccleaner-je-mnohem-zakernejsi-nez-se-zdalo-update-na-novou-verzi-nestaci-provedte-obnovu-systemu/sc-3-a-189628/default.aspx
https://www.cnews.cz/deravy-ccleaner-byl-nakonec-zakernejsi-cisco-doporucuje-obnovu-systemu-ze-zalohy/
https://technet.idnes.cz/vir-a-ccleaner-0dw-/software.aspx?c=A170918_114459_tec-kratke-zpravy_vse

Oficiální blog společnosti Avast, která Piriform nyní vlastní:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Útok byl mířen na firemní sféru, ale nakažený samozřejmě může být kdokoliv, kdo zmiňovanou verzi měl.

Avast doporučuje instalovat nejnovější verzi CCleaneru, což by mělo stačit pro soukromé uživatele:
"For consumers, we stand by the recommendation to upgrade CCleaner to the latest version (now 5.35, after we have revoked the signing certificate used to sign the impacted version 5.33) and use a quality antivirus product, such as Avast Antivirus."

Firemním se doporučuje samozřejmě aktualizovat také a je zmiňovaná návaznost na IT pravidla společností:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
"These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system."

Mnohokrát bylo také zmiňované, že se jedná pouze o 32bitovou kopii aplikace, což také není pravda:
"The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product."

Jak si s tím poradit je pěkne popsáno také v příspěvku na bleepingcomputer - díky jaro3
https://www.bleepingcomputer.com/how-to/security/ccleaner-malware-incident-what-you-need-to-know-and-how-to-remove/

Ano psalo se tu už o tom že nefungoval Facebook.

Ano mají pravdu skutečně stačí nainstalovat novou verzi a projet počítač Antivirem, ale pozor ne smart, nebo doporučená kontrola, ale úplnou kontrolu PC trvá to i klidně několik hodin.

Ty hňupe,než začneš vyvolávat hysterii a obavy,tak si o tom nejprve něco zjisti.
Cílem byly firemní uživatelé 32-bitové verze.

Než začneš někoho nazývat hňupem tak se nad sebou trochu zamysli. Nejde o to kdo je cílem, ale o to, jaký PC je napaden. Takže všichni kdo si napadený soft stáhli a nainstalovali do PC, tak jsou v ohrožení. A to nebyli jenom firemní uživatelé.

Polki: já vždy udržuji zálohu registrů 30 dní zpět, takže pokud se něco děje, tak vyčistím PC (to nativiry zvládnou) nebo to udělám ručně. A obnovím registr ze zálohy, to je taková jistota, kterou doporučuji.

behavioralista:
Klidně mě nazývej hňupem, už mi říkali i hůř.
Ale abych odpověděl na tvůj komentář. Nemyslím si, že vyvolávám paniku, jen jsem prezentoval informace ohledně možného bezpečnostního rizika a to především z webu avastu:
https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident
https://blog.avast.com/progress-on-ccleaner-investigation

Jak zmínil atari: je vlastně úplně jedno, jestli jsi firemní nebo soukromí uživatel, prostě jsi byl nakažen. I Avast se ve zmíněných textech výše nezaměřuje jen na firemní klientelu. Text o ní jsem záměrně vynechal, ale je tam také:
"For corporate users, the decision may be different and will likely depend on corporate IT policies. At this stage, we cannot state that the corporate machines could not be compromised, even though the attack was highly targeted."

Něco si nejprve zjisti? Ano, zjistil jsem si to, že Avast doporučuje instalovat nejnovější verzi CCleaneru a tím to hasne. Naopak Cisco doporučuje právě návrat k obnově nebo reinstalování:
These findings also support and reinforce our previous recommendation that those impacted by this supply chain attack should not simply remove the affected version of CCleaner or update to the latest version, but should restore from backups or reimage systems to ensure that they completely remove not only the backdoored version of CCleaner but also any other malware that may be resident on the system.
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

A po tom, co jsem si něco zjistil, jsem šel na toto fórum pro radu. A doufám, že tento topic pomůže i ostatním.

atari Díky za informace.

Dodatečně přidáno po 1 minutě 24 vteřinách:
behavioralista
Jen pro tvoji informaci ještě doplním, že nešlo jen o 32bitovou kopii aplikace.

The 32-bit code is activated through a patched version of VirtCDRDrv32.dll (part of Corel’s WinZip package), while the 64-bit uses EFACli64.dll – part of a Symantec product.