记一次windows 2008 R2 SP1中永恒之蓝病毒的处理过程

问题描述：win2008 R2服务器发现不停重启，蓝屏，蓝屏界面如下图。各种百度，不知问题何解。

PAGE_FAULT_IN_NONPAGED_AREA (50)

解决步骤：利用windbg工具分析dump文件。巴拉巴拉一通，用windbg分析出了有用的东西，看如下截图。

初步分析是程序mssecsvc.exe导致驱动异常，ntkrnlmp.exe挂掉，导致蓝屏。这mssecsvc.exe是什么东东？有巴拉巴拉的得出结论这是勒索病毒的变种。详细可参考。

http://www.sohu.com/a/156392749_244641

http://blog.sina.com.cn/s/blog_1909a80c70102y4kd.html

https://social.technet.microsoft.com/Forums/zh-CN/8df5c34b-c47b-417a-9ef2-c7c6d1e560e1/3583138382windows-server?forum=winserver8zhcn

http://sec.sangfor.com.cn/events/176.html

处理方案：

第一步：服务器断网，加电启动进入操作系统后，防火墙禁止445端口。

第二步：服务器断网，加电启动进入操作系统后，打补丁包。补丁包下载地址：

Windows Server 2008 R2 SP1：

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

第三步：安装360安全卫士，全盘木马查杀。查杀历史如下：