O ataque foi descrito por pesquisadores da Cisco Talos: “a versão legítima do CCleaner 5.33.. Também continha uma carga de malware de múltiplos estágios que estava no topo da instalação do CCleaner.”A empresa-mãe do CCleaner, Piriform (que foi recentemente comprada pela terrível empresa de antivírus Avast), reconheceu a questão logo em seguida.
Como o CCleaner afirma ter milhões de downloads por semana, isso é potencialmente um problema grave.
O que o malware faz?
O malware não prejudicou ativamente os sistemas, mas criptografou e coletou informações que poderiam ser usadas para prejudicar seu sistema no futuro. Em particular, de acordo com Piriform, ele criou um identificador exclusivo para o computador e coletou:
- Name of the computer
- List of installed software, including Windows updates
- List of running processes
- MAC addresses of first three network adapters
- Additional information whether the process is running with administrator privileges, whether it is a 64-bit system, etc.
Você pode ler mais informações técnicas sobre o ataque no blog da Cisco Talos e no blog da Piriform.
Eu fui afetado?
Felizmente, parece que esse malware afetou apenas um certo subconjunto de usuários do CCleaner. Em particular, afetou:
- Usuários executando a versão de 32 bits do aplicativo (não a versão de 64 bits)
- Usuários executando a versão 5.33.6162 do CCleaner ou CCleaner Cloud 1.07.3191, lançado em 15 de agosto de 2017
Como muitos usuários provavelmente usam a versão de 64 bits do aplicativo e o CCleaner Free não é atualizado automaticamente, isso é uma boa notícia para muitas pessoas.
(Atualizar: Alguns dias após a notícia ser divulgada, foi descoberta uma segunda carga que afetou usuários de 64 bits, mas foi um ataque direcionado a empresas de tecnologia, por isso é improvável que a maioria dos usuários domésticos tenha sido afetada.
Se você estiver em uma versão de 32 bits do Windows e achar que pode ter feito o download do CCleaner durante o período afetado, veja como verificar qual versão você tem. Abra o CCleaner e olhe no canto superior esquerdo da janela - você deve ver um número de versão sob o nome do programa.
HKLMSOFTWAREPiriform
e ver se há uma chave marcada
Agomo:MUID
. Se essa chave existir, significa que você teve o software infectado em seu sistema em um determinado momento.
O que devo fazer?
Embora nada imediatamente prejudicial tenha sido descoberto, a Cisco Talos recomenda restaurar seu sistema para um estado anterior a 15 de agosto de 2017 a partir de um backup caso você tenha sido afetado. Você provavelmente deve executar uma varredura de antivírus e MalwareBytes em seu sistema e seus backups para garantir que nenhum malware seja instalado.
Como alternativa, dizem eles, você pode reinstalar o Windows completamente - sim, é uma opção nuclear, mas é a única maneira de saber completamente que seu sistema está limpo depois de um evento como esse.
