據 Neowin 表示,由於 CrowdStrike 的安全軟體更新有問題,導致全球許多 Windows 電腦出現 BSOD 藍底白字當機現象,並顯示錯誤訊息 csagent.sys (PAGE_FAULT_IN_NONEPAGED_AREA),這也造成許多公司和機關被迫暫停營運。
CrowdStrike 錯誤更新導致大量 Windows 當機
Neowin 指出,受影響的公司包括銀行、航空公司、電視頻道等,其中一些公司幾乎被迫完全停止工作,大多數 Windows 電腦因為 CrowdStrike 的 Falcon Sensor agent 錯誤,而無法正常運作。CrowdStrike 是一家提供安全解決方案的公司,其 Falcon 平臺運用進階端點偵測與回應 (EDR) 應用程式和技術,是一款次世代防毒軟體。
Reddit 上有馬來西亞網友表示,他們 70% 的筆電都當機了,卡在開機狀態,日本總部下令全公司暫停營運,還有人因此被迫離職。
根據該討論串的回報,目前 CrowdStrike 公司已經確認到此問題,且公佈了臨時解決方案:
- Boot Windows into Safe Mode or the Windows Recovery Environment
- Navigate to the C:\Windows\System32\drivers\CrowdStrike directory
- Locate the file matching “C-00000291*.sys”, and delete it.
- Boot the host normally.
筆者翻譯的步驟如下:
- 重開機進入安全模式。
- 打開以下路徑「C:\Windows\System32\drivers\CrowdStrike」。
- 找到檔名類似 C-00000291*.sys 的驅動檔案,將它們刪除。
- 正常開機。
此外,也有其他網友分享更簡單的操作,例如找到 CrowdStrike 資料夾後,直接把資料夾改名為 CrowdStrike.bak,這應該能多少節省一點作業時間。
雖然步驟看起來沒有很複雜,但一次要恢復許多電腦對 IT 人員來說相當麻煩,筆者稍微搜尋一下命令列的處理方式,方便習慣使用指令的讀者操作。
- 以系統管理員權限開啟命令提示字元。
- 輸入「bcdedit /set {current} safeboot minimal」後按 Enter。
- 再輸入「shutdown /r /t 0」後按 Enter,此時系統會直接重新開機進入安全模式。
- 進安全模式後,以系統管理員權限開啟命令提示字元。
- 輸入「ren C:\Windows\System32\drivers\CrowdStrike CrowdStrike.bak」,按 Enter。
- 接著輸入「bcdedit /deletevalue {current} safeboot」,再按 Enter。
- 最後輸入「shutdown /r /t 0」,按 Enter 重開機回到正常模式。
也可以將以上用到的指令存到記事本內,直接複製貼上避免輸入錯誤。
