今天我接到一个支持电话,说电脑已经完全从头开始重新加载了 Windows 10。所有现有的客户数据、配置、应用程序等都消失了。Windows.old 文件夹中甚至什么都没有。
这件事似乎是昨晚 4 点到 6 点左右发生的,经理告诉我,从上周开始就没人使用过这台电脑。
启动时,它会经过“欢迎使用 Windows”屏幕并要求创建用户。
我不知道有任何方法可以在没有用户交互的情况下触发完整的系统擦除并重新安装,所以我很确定这必须由用户发起。
测试硬盘表明硬盘良好 – 没有错误/坏扇区。
有什么事情可以触发这种情况吗?或者我们是否应该假设有人在未经授权的情况下使用了 PC,并触发了擦除操作来掩盖他们的踪迹?
感谢您的见解。
更新:我在虚拟机上进行了一些测试,我可以确认:它是可以从 Windows 内部启动完整系统还原并删除所有用户数据(无需重新启动进入 EFI 或 Windows Boot)。过程如下:
- 打开设置(齿轮)应用程序并搜索恢复选项。
- 在恢复中,点击“重置此电脑”下方的“开始”按钮
- 选择选项“删除所有内容”(下面的截图)
- 选择本地选项作为 Windows 安装媒体的源。
- 回答所有剩余问题
- 计算机将重新启动并启动完整系统还原并清除用户文件,并且不需要用户进一步输入来确认此操作。
这证实了完全有可能直接从 Windows 环境启动完整的系统还原并擦除用户数据,而无需经过重新启动过程或 shell。因此,远程用户和应用程序可以启动此过程,而无需本地用户在场。(也感谢 @starcat 提供的意见)
这为此次重置打开了另一组可能的来源:可能是启动重置的应用程序,也可能是远程用户。最有可能的情况似乎是新的 Malwarebytes 软件,因为重置发生在安装 MB 后不久。但 MB 支持向我保证他们的软件没有能力执行此类操作。我想这可能是潜伏的恶意软件,在检测到新的 MB 软件时触发运行系统还原,但这似乎不太可能,因为在升级到 MB EDR 之前,我们已经在这台电脑上运行了另一个版本的付费 Malwarebytes 产品。
TLDR:我仍然很困惑,但启动这样的系统还原的可能性比我原先想象的要多得多。
答案1
您应该担心硬盘可能被调换了,这就是重新安装的原因。客户数据可能被盗而不是丢失。如果机器有防篡改开关,最好检查一下。