在過去的 48 小時里,發生了一場震撼全球互聯網和 IT 基礎設施的數字災難,全世界的機場、火車系統、銀行、醫療機構、酒店、電視臺紛紛受到了影響,許多人的生活被打亂,造成的經濟損失更是難以估量。
表面上,這場大規模 IT 系統崩潰體現在 Windows 電腦的“藍屏死機”上。大量 Windows 用戶在社交媒體上發布了他們遭遇的藍屏。
有在機場信息屏上的:
(來源:X)
有在室外電子廣告牌上的:
(來源:X)
還有在賽車場公告牌上的:
(來源:X)
甚至連醫療器械也受到了影響:
(來源:X)
然而,Windows 系統和微軟并不是這場崩潰的主角,真正的“元兇”是一家名為 CrowdStrike 的安全公司,它發布了一個有缺陷的軟件(驅動)更新,導致 Windows 電腦陷入了災難性的重啟循環。
在系統崩潰出現不久后,CrowdStrike 的 CEO 喬治·庫爾茨(George Kurtz)就在 X 平臺上強調,這不是一起安全事件或網絡攻擊,而且“問題已經被識別、隔離并部署了修復”。但并非所有組織都能迅速采取正確的行動。
受此影響,微軟 365 服務出現異常,云端儲存服務 OneDrive 和郵件服務 Outlook 都出現了宕機。
美國達美航空公司和美國聯合航空公司的航班被迫停飛,英國希思羅機場、荷蘭阿姆斯特丹國際機場和新加坡樟宜機場等重要機場的 IT 系統崩潰,導致值機失敗、航班延誤和停飛,大量乘客被迫滯留在機場。英國和馬來西亞的鐵路系統也遭遇了類似的問題。
同時,歐洲、澳大利亞和印度的許多銀行客戶無法訪問在線銀行,也不能完成轉賬等交易。
英國的醫生辦公室和醫院失去了對患者記錄和預約系統的訪問權限。美國的 911 應急服務也遭遇了技術故障,許多呼叫中心無法正常工作。
在歷史上,極少有一個軟件(甚至是幾行代碼)能在短時間內破壞全球的計算機系統,我們有所耳聞的主要是蠕蟲和木馬攻擊,比如 2003 年的 SQL Slammer 蠕蟲攻擊和 2017 年的勒索軟件 WannaCry 傳播。
最近幾年的全球大宕機主要發生在 IT 系統的“服務器端”,例如云服務提供商出現問題、互聯網電纜中斷或分布式拒絕服務攻擊。
滑稽的是,這次的混亂并非由黑客傳播的惡意軟件引發的,而是由旨在阻止黑客攻擊的軟件引發的。
一張張荒誕而又帶點藝術色彩的照片仿佛在說:“看吧,這個世界就是一個巨大的草臺班子。”
問題的起因
大崩潰的根本原因是網絡安全公司 CrowdStrike 為 Windows 設備發布的一個更新中存在 bug。
該更新旨在用于 CrowdStrike 的 Falcon 軟件,這是一款“端點檢測和響應(endpoint detection and response)”軟件,旨在保護公司的計算機系統免受網絡攻擊和惡意軟件的侵害。
此次更新屬于“內核驅動程序”更新,但它并沒有按預期工作,而是導致運行 Windows 系統的計算機崩潰并無法成功重啟。
運行 Windows 的家用電腦不太可能受到影響,因為 CrowdStrike 主要由大型組織使用。
獨立網絡安全研究員兼顧問盧卡斯·奧利尼克(Lukasz Olejnik)表示,CrowdStrike 軟件在低級操作系統層工作,在這里出現任何問題都可能會使操作系統無法啟動。
他指出,并非所有運行 Windows 的計算機都會受到影響。如果一臺機器在 CrowdStrike 推送更新時處于關機狀態,它就不會自動更新。
如何修復
當然,在發現問題后,CrowdStrike 和微軟已經撤回了此次更新,目前也發布了一些解決方法。
令人啼笑皆非的是,官方最早發布的解決方法竟然是大名鼎鼎的“重啟試試”。
微軟 Azure 云服務頁面指出,一些客戶反饋稱,他們通過多次重啟虛擬機成功解決了系統崩潰。有的客戶稱其重啟了 15 次才成功。
圖 | 微軟最早給出的“重啟試試”解決方案(來源:微軟)
究其原因,似乎是重啟可以讓受影響的設備有更多機會嘗試獲取 CrowdStrike 的未損壞更新。如果重啟無法解決問題,微軟的建議是使用備份,將系統恢復到 CrowdStrike 驅動更新之前。
如果不想或無法恢復備份,那就只能由 IT 管理員開啟電腦的安全模式,手動刪除受影響的驅動(位于 C:\Windows\System32\drivers\CrowdStrike 目錄下的 C-00000291*.sys 文件),然后讓機器正常啟動并獲取未損壞的驅動。
對于管理成百上千臺電腦和服務器的大公司來說,IT 部門無疑面臨著巨大的工作量,完全修復可能需要幾天的時間,許多 IT 管理員的周末不得不用來加班。
不過,人類的悲喜并不相通。因為電腦藍屏,很多打工人的周末從周五就“開始”了。
此次全球宕機潮反映出了 IT 基礎設施是多么的脆弱:如果這是一種勒索軟件而不是一次意外的更新 bug,情況將比現在糟糕多了。
在 IT 管理員爭先恐后地修復問題、降低影響時,如何防止類似危機再次發生的問題仍沒有答案。
“人們可能會現在要求改變現在這種運行模式。”網絡安全咨詢公司 Hunter Strategy 的研發副總裁杰克·威廉姆斯(Jake Williams)表示,“CrowdStrike 剛剛展示了在沒有 IT 介入的情況下,為何推送更新是不可持續的原因。”
參考資料:
https://www.technologyreview.com/2024/07/19/1095161/fix-windows-pc-microsoft-crowdstrike-outage/
https://arstechnica.com/information-technology/2024/07/crowdstrike-fixes-start-at-reboot-up-to-15-times-and-get-more-complex-from-there/
https://www.theverge.com/24202037/microsoft-crowdstrike-outage-blue-screen-error-photos
排版:朵克斯
操作系統可以有效的管理計算機的所有應用程序,保障計算機的穩定運行,遇到無法進入操作系統的情況時該怎么辦呢?方法很簡單,根據以下步驟進行操作即可。
當操作系統崩潰,或電腦存在病毒,或不小心刪除了重要文件時,設備就會出現啟動問題。如:
● Error Loading The Operating System
(加載操作系統錯誤)
● Operating System Not Found
(未找到系統)
● Invalid Partition Table
(無效磁盤分區)
● Reboot And Select Proper Boot Device
(重啟并選擇正確的啟動設備)
在遇到以上問題時,可以嘗試通過以下步驟進行解決:在多次啟動未果后,系統將會彈出修復窗口。選擇診斷,選擇命令提示符,待看到命令提示符窗口時,按順序輸入命令提示符:
bootrec/fixmbr<enter>
bootrec/fixboot<enter>
bootrec/scanos<enter>
bootrec/rebuildbcd<enter>
操作完成后,選擇退出,敲擊確認并關閉電腦。
若未出現此窗口,那么可以通過原裝介質啟動系統。獲得此介質的方法可以參考往期的相關視頻。
文章指路:如何創建可引導的USB閃存盤?
若電腦開機后依舊無法順利啟動,那么建議進入BIOS查看硬盤是否被識別到。重啟系統,在看到Dell Logo時,多次敲擊F2,進入BIOS界面,在左側的菜單中,查找HDD。
若設備能夠正確識別到硬盤,那么很有可能是系統存在問題。這種情況下,需要考慮重新安裝操作系統。若未能識別,那么建議聯系戴爾技術支持人員以獲得進一步的解決方案。
以上就是進入操作系統的具體步驟,學會了嗎?建議點贊收藏。