根据当局指导,用户可启动Windows安全模式或恢复设置,并从系统里删除有缺陷的”C-00000291*.sys”文件再重启,就能解决“蓝屏死机”问题。

CrowdStrike总裁库尔茨(George Kurtz)在19日发布的声明中说:“我们知道对手和不法分子会尝试从事故中受益。我鼓励所有人保持警惕,确保你和公司官方代表联络。”

CrowdStrike软件缺陷导致用户设备“蓝屏死机”,网安局的电脑紧急反应组(SingCERT)已发布建议,让受影响的系统管理员和用户可采取措施来减轻影响。

即使是使用同样的软件方案,安信咨询安全集团(Ensign InfoSecurity)咨询副总裁张翔征说,随着网安措施和业务的不同,受影响的程度也有所不同。

此外,有人假扮独立研究员,称掌握到技术问题是由网络袭击引起的,可提供补救措施。也有人售卖电脑程序脚本(scripts),称使用后可自动修复软件缺陷。脚本是可操作电脑功能的编程语言,使用虚假或恶意脚本可能导致用户失去电脑的掌控权,任由不法分子盗取信息。

张翔征也说,企业应采取后备措施,包括软件和硬件。

网安局也提醒,有许多疑似虚假的CrowdStrike网域名称,比如crowdstrikeclaim[.]com和crowdstrikefix[.]com等。

个人电脑大致不受CrowdStrike宕机影响

有不法分子在全球多个国家针对CrowdStrike用户展开钓鱼诈骗,新加坡网络安全局提醒公众提高警惕,并采取正确措施重新启动受影响设备。

CrowdStrike软件多数部署在企业环境中,个人电脑大致不受影响。

网安公司卡巴斯基(Kaspersky)风险研究主任利斯金(Alexander Liskin)解释,受影响设备无法启动,对网络袭击毫无提防能力,即使重启后也可能因没有任何网安保护而再度面对袭击风险。

全球大宕机不久后 多国网安机构陆续接获恶意网站和非官方通报

由于问题不能通过远程更新,必须由人工逐个端点去解决,这个过程预计会花上几天时间。

延伸阅读

杨莉明:全球大宕机提醒每个机构须有良好业务持续计划和风险管理程序
大宕机主要影响企业设备 CrowdStrike总裁致歉

多个国家在7月19日发生全球大宕机不久后,就接获恶意网站和非官方的通报,包括澳大利亚、美国、英国的网络安全机构都陆续发布通知。

若使用云端或虚拟伺服器,可先切断连接后备份数据,再连接至新的伺服器,删除缺陷文件。

新思科技总经理施密特(Jason Schmitt)说,尽管这次的宕机由技术故障引起,企业须意识到网络罪犯正伺机攻击软件系统,因此实施安全坚韧的开发准则已是关键。

利斯金说,业者在进行系统更新前应高度谨慎,先进行一系列的内部测试才推出给用户。他也建议业者分批为不同用户更新软件,而不是一次性在全球范围推出,若出现问题将难以掌控。

网安局星期六(7月20日)在网站发布通知说,当局接获举报指不法分子利用CrowdStrike软件更新缺陷导致微软系统宕机事件,假扮客服人员向用户发出钓鱼电邮或拨打电话。