A Microsoft lançou uma ferramenta de recuperação projetada para ajudar administradores de TI a reparar máquinas Windows que foram afetadas pela atualização defeituosa do CrowdStrike – que travou 8,5 milhões de dispositivos Windows na sexta-feira. A ferramenta cria uma unidade USB inicializável que os administradores de TI podem usar para ajudar a recuperar rapidamente as máquinas afetadas, relata o The Verge.
Embora a CrowdStrike tenha lançado uma atualização para corrigir seu software que levou ao apagão, nem todas as máquinas são capazes de receber essa correção automaticamente. Alguns administradores de TI relataram que tiveram que reiniciar os PCs várias vezes para obter a atualização necessária. Para outros, o único caminho é inicializar manualmente no modo de segurança e excluir o arquivo de atualização problemático do CrowdStrike.
Agora, a ferramenta de recuperação da Microsoft agora torna esse processo de recuperação menos manual, inicializando em seu ambiente Windows PE via USB, acessando o disco da máquina afetada e excluindo automaticamente o arquivo CrowdStrike problemático, para permitir que a máquina inicialize corretamente. Isso evita a necessidade de inicializar no modo de segurança, ou a exigência de direitos de administrador na máquina, porque a ferramenta simplesmente acessa o disco sem inicializar na cópia local do Windows. Se um disco estiver protegido pela criptografia BitLocker, a ferramenta solicitará a chave de recuperação do BitLocker e continuará a corrigir a atualização do CrowdStrike.
A Microsoft também possui etapas de recuperação separadas disponíveis para máquinas virtuais Windows em execução no Azure. A empresa publicou fases de recuperação para todos os dispositivos Windows 10 e Windows 11 em seu site de suporte.
Guia de reparação
Por sua vez, a CrowdStrike publicou um novo “Guia de reparação e orientação”, que reúne detalhes relacionados à atualização defeituosa que travou 8,5 milhões de computadores Windows em todo o mundo na sexta-feira.
A página inclui informações técnicas sobre o que causou a interrupção, quais sistemas foram afetados e a declaração do CEO George Kurtz. Também contém links para processos de recuperação de chave do Bitlocker e para várias páginas de fornecedores de terceiros.
A CrowdStrike também publicou um blog ontem alertando que os agentes de ameaças têm aproveitado a situação para distribuir malware, usando “um arquivo ZIP malicioso chamado crowdstrike-hotfix.zip”.
O arquivo ZIP contém uma carga útil do HijackLoader que, quando executada, carrega o RemCos. Notavelmente, os nomes de arquivos em espanhol e as instruções no arquivo ZIP indicam que esta campanha provavelmente tem como alvo clientes CrowdStrike baseados na América Latina (LATAM).
Por Marisa Adán Gil