更新 4:
为了协助 CrowdStrike 的客户们解决蓝屏故障问题,微软推出了专项修复工具— Microsoft Recovery Tool,受影响的设备可以通过该专项修复工具来快速修复由 CrowdStrike 更新导致的蓝屏问题,相关使用教程可以参考这篇文章。
更新 3:
新增一些此次事件的“蓝屏照片 ”:图说 CrowdStrike “蓝屏事件”
更新 2:
微软 CEO Satya Nadealla 表示:微软已经知道 CrowdStrike 产品错误更新导致的蓝屏问题,目前已经开始协助 CrowdStrike 来一起帮助客户解决这个问题。
更新 1:
CrowdStrike CEO 发表声明(声明中不含有任何道歉):
CrowdStrike 正在积极和受影响的客户一起解决 Windows 设备遇到的问题。Mac 和 Linux 不受影响。本次故障并非安全事件和网络安全问题,问题目前已经被识别、隔离并且已经部署了修复程序。我们建议受影响的客户访问我们的支持门户并且会持续在我们的网站上提供最新的事件动态。请进一步确保与 CrowdStrike 取得沟通,我们的团队目前完全行动起来来确保客户们的安全性和稳定性。
今天,全球各大公司均遇到了 Windows 蓝屏故障,受影响的客户包括:银行、航空公司、电视台、超市等。此次 Windows 蓝屏故障并非由微软导致,CrowdStrike 的产品更新导致了这一问题。
临时解决方案
CrowdStrike 是世界范围内为 Windows PC 和服务器提供更新管理的网络安全服务商。目前 CrowdStrike 已经提供了一个临时解决方案(并不适用于所有受影响的设备):
- 进入 Windows 安全模式
- 打开 C:\Windows\System32\drivers\CrowdStrike
- 找到并删除与 C-00000291*.sys 匹配的所有文件。
- 重启设备
官方解决方案(适用于个人设备)
- 重启 Windows 尝试下载还原频道文件, 如果继续重启:
- 进入 Windows 安全模式
- 打开 C:\Windows\System32\drivers\CrowdStrike
- 找到并删除与 C-00000291*.sys 匹配的所有文件。
- 重启设备
注意:启用 BitLocker 的设备在此过程需要还原密钥。
官方解决方案(适用于公有云或类似(虚拟)环境)
方案1:
- 从受影响的虚拟服务器移除系统磁盘
- 创建磁盘快照或备份
- 添加/挂载分区到新的虚拟服务器上
- 打开 C:\Windows\System32\drivers\CrowdStrike
- 找到并删除与 C-00000291*.sys 匹配的所有文件
- 从新的虚拟服务器上移除分区
- 将修复的分区重新加载到受影响的虚拟服务器上
方案2:
回滚到 0409UTC 之前的快照
官方解决方案 (AWS 相关)
- To attach an EBS volume to an instance
- Detach an Amazon EBS volume from an instance
- Note: Use a different OS version for the VirtualMachine used as the recovery VM to the Virtual Machine you are trying to recover.
官方解决方案 (Azure 相关)
其他相关文档
- BitLocker recovery in Microsoft Azure
- BitLocker recovery in Microsoft environments using SCCM
- BitLocker recovery in Microsoft environments using Active Directory and GPOs
- BitLocker recovery in Microsoft environments using Ivanti Endpoint Manager
我们会及时关注和更新这次 Windows 10 蓝屏事件。