저희 병원도 CrowdStrike 로 PC가 먹통되고 난리가 났습니다.
페이지 정보
본문
저희 병원도 이 보안 시스템을 쓰는데요, 간밤에 업데이트 되면서, 아침에 블루스크린 뜬 PC가 많은 것 같습니다.
아침 출근 전에 1차 관련 메일이 왔었는데요, 오후 1시 40분에 업데이트 메일이 아래와 같이 왔습니다만, 여전히 해결이 되지 않고 있습니다.
점심 먹으면서 물어보니, 어제 퇴근하면서 PC를 셧다운 하고 갔었던 사람들은 간밤에 업데이트가 되지 않아서 무사하다고 합니다. 그냥 로그아웃만 하고 퇴근했던 사람들이 자동으로 업데이트 되면서 문제가 발생했다고 하네요. 해결방법은 아래와 같은데요,
CrowdStrike's Chief Threat Hunter published a workaround on X (Twitter) which involves deleting the culprit driver file[s], "C-00000291.sys", found in the %windir%\System32\drivers\CrowdStrike directory. This fix requires technicians to manually go through each affected device.
Steps
1. Boot into Safe mode (F8)
2. Go to C:\Windows\System32\drivers\CrowdStrike
3. Delete file matching "C-00000291.sys"
4. Restart
문제는, 이 보안 시스템에 속해 있는 PC들은 admin권한이 부여되지 않아서, admin 권한이 있는 전산실(EIS) 운영자가 직접 와서 하나씩 안전모드로 부팅해서 직접 지워야 한다는 것입니다. 저희도 바로 EIS에 요청을 해서 ticket을 받아 놓기는 했는데, 언제 올지는 모르겠습니다.
현재 윈도우 PC들이 전부 블루스크린 상태인데요, 이걸 원격으로 일괄적으로 문제가 된 저 시스템 파일을 지우고 리부팅이 가능할지 모르겠습니다. 다행히 오늘이 금요일이라서 2일간 복구 시간이 있어서 열심히 방법을 찾지 않을까 생각됩니다.
전산이 운용되지 않으면 업무가 불가능한 부서는 일찌감치 퇴근을 했구요, 업무가 거의 마비되었습니다. 병원 진료는 정상적으로 운영되는 것 같은데, 기록은 아마도 수기로 남겼다가 나중에 정리하지 않을까 생각됩니다.
데굴대굴님의 댓글
이걸 쓰는거면 다른 보안도 겁쳐서 걸려있기에 푸는 과정 중에 몇개의 보안을 더 뚫어야하는거라 더더욱….
그냥 집에 가는게 더 낫다는게 뻥이 아니에요. 푸는데 30분/대 이상이 걸릴수도 있습니다.
하산금지님의 댓글
(골머리 앓는 분께는 죄송합니다. 꾸벅~)
pass님의 댓글