Windows 用户请注意，所有 Windows 安装镜像即将失效......

电脑维修

BlackLotus，又名黑莲花病毒，一种劫持 UEFI 的恶意病毒。BlackLotus 被认为是第一个可以绕过 Windows 11 安全启动的 UEFI Bootkit 恶意病毒。BlackLotus还可以禁用 Windows 中的 Defender 或 Bitlocker 和 HVCI。在发现该病毒之前，Windows 10/11 下  UEFI、Secure Boot 的安全性一直备受好评。

什么是引导工具包（Bootkit）？

引导工具包是一种可以操纵UEFI引导过程并绕过安全功能的软件模块，它们对Windows机器构成非常强大的威胁（也适用于Linux，但Secure Boot主要针对Windows）。引导工具包以隐蔽且高权限的方式运行，无论是内核模式还是用户模式，一旦病毒完全控制了操作系统的引导过程，就可以禁用各种操作系统安全机制，并引入自己的恶意程序。

到目前为止，只发现了少数几种引导工具包，并进行了公开描述。与固件植入（如LoJax）相比，UEFI引导工具包可能会失去隐蔽性。

什么是UEFI？

UEFI代表“统一可扩展固件接口”，描述的是主板的固件。这是在引导过程中硬件和软件之间的接口。UEFI的一个重要功能是安全引导（Secure Boot）计算机，主要是为了防止病毒进入设备，这就是为什么绕过这个安全功能如此危险的原因。

微软分三个阶段对该漏洞进行修复

微软于2023年5月9日发布了KB5025885更新，该更新是修复 BlackLotus 的第一阶段。更新内容包括增加代码完整性启动策略，将禁止的数字签名数据库DBX写入UEFI，更新Windows启动管理器等。

但该更新并未自动生效（可以手动更新），因为旧版的Windows启动管理器容易受到病毒攻击，微软通过拉黑DBX病毒暂时应对病毒攻击。如果该更新生效，只能启动新版Windows启动管理器，以前使用旧版ISO制作的U盘启动器和WinPE可能无法启动。

第二阶段则是本周二发布的 Windows 10（KB5028166）和 Windows 11（KB5028185）更新补丁，更新完成之后，依旧没有任何变化，但相较于第一阶段更新，但是简化了手动生效的方法。

以管理员身份运行 cmd，并输入以下命令。

• 
  

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f

重新启动计算机，启动成功之后，尽量在10分钟之后再重新启动一次。确认是否启用成功，只需要按键盘快捷键 Windows + R 打开运行窗口，输入 “eventvwr” 并按回车键，如果存在事件ID 1035和276，则表示已生效！

第三阶段预计将在2024年第一季度强制执行，届时无需手动操作，将会自动完成修复。

需要注意的是，使用旧版的Windows启动管理器的电脑会无法启动操作系统，还有使用旧版镜像制作的U盘启动器、WinPE以及一些品牌电脑自带的恢复分区等都会受到影响。

终极措施

大家尽量提前做好准备，避免在使用官方镜像重装系统时遇到问题。当然，为了确保万无一失，只要使用2023年5月9日之后的镜像即可避免该问题。

.