致命错误:CrowdStrike 更新导致全球 Windows 蓝屏死机,事件影响范围及解决方法概述
2024 年 7 月 20 日起,全球范围内使用 CrowdStrike Falcon Sensor 的 Windows 设备出现大规模蓝屏死机 (BSOD) 现象。该事件影响了各个行业的众多用户,包括航空公司、银行和医疗保健提供商。
事件原因
CrowdStrike 于 2024 年 7 月 19 日发布的 Falcon Sensor 更新存在错误,导致受影响设备在启动时出现蓝屏死机。
影响范围
此次事件影响范围广泛,全球数百万台 Windows 设备受到影响。根据 CrowdStrike 官方声明,截至 2024 年 7 月 20 日,已收到超过 850 万台设备的蓝屏死机报告。
解决方案
CrowdStrike 已停止发布导致错误的更新,并建议用户采取以下措施解决蓝屏死机问题:
对于普通用户:
安全模式启动: 将您的 Windows PC 启动到安全模式或 Windows 恢复环境。
删除错误文件: 转到 C:\Windows\System32\drivers\CrowdStrike 并删除所有与 “C-00000291*.sys” 匹配的文件。
正常重启: 正常重启您的电脑。
对于高级用户:
命令行删除: 从恢复选项进入命令提示符,并运行以下命令删除错误文件:
BardVeMetadataKey:[["r_f37069457c16bd64","c_3262e0e20726537c",null,"rc_47c7ae0f928645b1",null,null,"zh",null,1,null,null,0,0]]">del C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys注册表编辑: 将 Windows 注册表项 HKLM:\SYSTEM\CurrentControlSet\Services\CSAgent\Start 的值从 1 改为 4,以阻止 csagent.sys 加载。
对于 AWS EC2 实例用户:
分离并重新附加 EBS 卷: 将受影响的 EBS 卷分离 from the affected EC2 instance, attach it to a new EC2 instance, follow CrowdStrike's instructions to repair the CrowdStrike driver folder, detach the EBS volume from the new EC2 instance, and then reattach it to the affected EC2 instance.
对于 Google Cloud Platform 实例用户:
该方法也适用于在 Google Cloud Platform 上运行的 Windows 实例。
预防措施
为避免类似事件再次发生,建议用户采取以下预防措施:
定期更新 CrowdStrike Falcon Sensor 到最新版本。
在安装任何重大更新之前,先备份您的系统。
了解如何将您的电脑启动到安全模式或 Windows 恢复环境。
