نرم‌افزار CCleaner هک شد!

در  این حمله‌ی بدافزاری از طرف محققان Cisco Talos شناسایی شده است و به گفته‌ی آن‌ها، نسخه‌ی اصلی ۵.۳۳ این نرم‌افزار دارای بدافزاری است که در کنار آن نصب می‌شود. مالک CCleaner، یعنی Piriform که پیش‌تر از طرف Avast خریداری شده بود، این مشکل امنیتی را به‌صورت رسمی تأیید کرده است. از آن‌جا که طبق ادعای CCleaner، این نرم‌افزار هرهفته میلیون‌ها بار دانلود می‌شود، این مشکل امنیتی می‌تواند بسیار حاد باشد.

تهدیدات امنیتی این بدافزار چیست؟

گفتنی‌ست این بدافزار به‌صورت فعال به سیستم آسیب نمی‌زند؛ بلکه اطلاعاتی رمزنگاری شده را از سیستم کاربر جمع‌آوری می‌کند که می‌توان با آن‌ها در آینده کارهای مخرب انجام داد. به‌طور واضح‌تر طبق اعلام Piriform، این بدافزار یک شناسه‌ی یکتا برای هر سیستم می‌سازد و اطلاعات زیر را از آن استخراج می‌کند:

نام کامپیوتر
لیست نرم‌افزارهای نصب‌شده که آپدیت‌های ویندوز را نیز شامل می‌شود
لیست پردازش‌های در حال اجرا
مک آدرس سه اتصال شبکه‌ای اول در لیست اتصالات شبکه
اطلاعات بیش‌تر مانند این‌که هر پردازش با دسترسی Administrator اجرا می‌شود یا خیر، سیستم ۶۴بیتی است یا خیر و…
آیا سیستم من آلوده شده است؟
خوشبختانه به‌نظر می‌رسد این بدافزار تنها بخش محدودی از کاربران CCleaner را تحت تأثیر قرار داده است که دارای شرایط زیر هستند:

از نسخه‌ی ۳۲بیتی این نرم‌افزار استفاده می‌کنند
از نسخه‌ی ۵.۳۳.۶۱۶۲ CCleaner یا نسخه‌ی ۱.۰۷.۳۱۹۱ CCleaner Cloud که در روز ۲۴ام مردادماه منتشر شده‌اند استفاده می‌کنند
از آن‌جا که بسیار از کاربران از نسخه‌ی ۶۴بیت ویندوز استفاده می‌کنند و از طرفی نسخه‌ی رایگان CCleaner نیز به‌طور خودکار اقدام به به‌روزرسانی نمی‌کند، خیلی از کاربران از خطر آن در امان بوده‌اند.

اگر ویندوز شما ۳۲بیتی است و فکر می‌کنید که اخیراً نسخه‌ای از CCleaner را دانلود کرده‌اید، می‌توانید طبق این دستورالعمل ورژن آن را چک کنید. ابتدا CCleaner را اجرا کنید و سپس به گوشه‌ی سمت چپ و بالای آن نگاهی بیندازید. نسخه‌ی دقیق نرم‌افزار زیر نام آن نوشته شده است.

اگر نسخه‌ی CCleaner شما قبل از ۵.۳۳.۶۱۶۲ است، سیستمتان آلوده نشده است و باید هرچه سریع‌تر به‌صورت دستی اقدام به دانلود آخرین نسخه‌ی این نرم‌افزار کنید. با این حال اگر نسخه‌ی CCleaner شما ۵.۳۴ یا بالاتر است، ویندوز شما ۳۲ بیتی است و در بازه‌ی زمانی بین ۲۴ مرداد تا ۲۱ شهریورماه اقدام به به‌روزرسانی آن کرده‌اید، احتمالاً سیستم شما آلوده شده باشد. اگر می‌خواهید از آلوده‌شدن سیستمتان اطمینان پیدا کنید می‌توانید به رجیستری مراجعه کنید. ابتدا Registry Editor را اجرا کنید

و سپس به مسیر:

HKLM\SOFTWARE\Piriform

بروید. اگر در این قسمتی کلیدی تحت عنوان Agomo:MUID وجود داشته باشد بدین معنی است که سیستم شما در معرض این بدافزار بوده است.

باید چه اقدامی انجام بدهم؟

در حالی که چیز بسیار مخربی شناسایی نشده است، Cisco Talos پیشنهاد می‌کند که کاربران سیستم خود را با استفاده از پشتیبان به تاریخی پیش از ۲۴ مرداد بازگردانند. هم‌چنین توصیه می‌شود که کاربران با استفاده از آنتی‌ویروس و اسکن بدافزارها از پاک بودن سیستم خود اطمینان حاصل کنند. نهایتاً اگر چاره‌ی دیگری نداشتید می‌توانید ویندوز خود را به‌کلی پاک کنید و آن را مجدداً نصب کنید!