Herramienta de Microsoft para recuperar equipos dañados por CrowdStrike

 Resultado de imagen de Herramienta de Microsoft CrowdStrike

Microsoft ha lanzado una herramienta de recuperación de WinPE personalizada para encontrar y eliminar la actualización defectuosa de CrowdStrike que bloqueó aproximadamente 8,5 millones de dispositivos Windows el viernes.

Para resolver la solución, los administradores debían reiniciar los dispositivos Windows afectados en Modo seguro o Entorno de recuperación y eliminar manualmente el controlador del kernel defectuoso de la carpeta C:\Windows\System32\drivers\CrowdStrike.

Sin embargo, a medida que las organizaciones enfrentan cientos, si no miles, de dispositivos Windows afectados, realizar estas correcciones manualmente puede resultar problemático, consumir mucho tiempo y ser difícil.

Para ayudar a los administradores de TI y al personal de soporte, Microsoft ha lanzado una herramienta de recuperación personalizada que automatiza la eliminación de la actualización defectuosa de CrowdStrike de los dispositivos Windows para que puedan volver a iniciarse normalmente. La herramienta de recuperación de Microsoft firmada se puede encontrar en el Centro de descarga de Microsoft: https://go.microsoft.com/fwlink/?linkid=2280386

Para utilizar la herramienta, el personal de TI necesita un cliente Windows de 64 bits con al menos 8 GB de espacio, privilegios administrativos en este dispositivo, una unidad USB con al menos 1 GB de almacenamiento y una clave de recuperación Bitlocker, si es necesario.

Cabe señalar que necesitará una unidad flash USB de 32 GB o menos; de lo contrario, no podrá formatearla con FAT32, que es necesario para iniciar la unidad.

La herramienta de recuperación se crea mediante un script de PowerShell descargado de Microsoft, que debe ejecutarse con privilegios administrativos. Cuando se ejecuta, formateará una unidad USB y luego creará una imagen WinPE personalizada, que se copia en la unidad y se puede iniciar.

Luego puede iniciar su dispositivo Windows afectado con la llave USB y automáticamente ejecutará un archivo por lotes llamado CSRemediationScript.bat. Este archivo por lotes le pedirá que ingrese las claves de recuperación de Bitlocker necesarias, que se pueden recuperar siguiendo estos pasos.

Luego, el script buscará el controlador del kernel CrowdStrike defectuoso en la carpeta C:\Windows\system32\drivers\CrowdStrike y, si lo detecta, lo eliminará automáticamente. No se creará ningún registro ni una copia de seguridad del controlador CrowdStrike. Cuando se complete el proceso, el dispositivo se reiniciará y debería volver a iniciarse en Windows y estar disponible nuevamente.

Desafortunadamente, el mayor obstáculo para los administradores de Windows es recuperar las claves de recuperación de Bitlocker necesarias. Por lo tanto, determinar si se necesita uno y recuperarlo deben ser los primeros pasos a seguir antes de intentar recuperar dispositivos.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos