Если в компании произошло заражение вирусом Petya, а сервера не перегружались, то есть возможность их полечить, не переустанавливая ОС Windows. Когда перегружается зараженный компьютер, то при старте выполняется проверка диска (команда CHKDSK). На самом деле это ложная проверка и, возможно, в этот момент происходит шифрование файлов, после чего появляется уже всем известная картинка - “красным по чёрному” - с требованием перевести деньги.

 

Способ лечения

Многие описывают один из вариантов “лечения” ПК через режим SafeMode [ https://strana.ua/news/78497-kak-udalit-virus-vymogatel-petya-s-zarazhennogo-kompyutera-i-kak-ego-vylechit.html ], так же СБУ предлагает свои варианты устранения вируса [ http://news.bigmir.net/ukraine/1084755-SBU-rasskazala--kak-vylechit--komp-juter-ot-virusa-Petya ]. Предлагаю рассмотреть мой способ избавления от вируса, который подходит как для ПК, так и для серверов, которые не успели перезагрузить при заражении. Для примера возьмём виртуальные сервера MS Hyper-V.  

Первым делом в виртуальной машине подключаем образ LiveCD и грузимся с него. Далее необходимо найти файлы perfc или perfc.dll в папке C:/Windows, и удалить их. После этого нужно выбрать утилиту по работе с загрузочным сектором, в моём случае она называется BootSetGui (см. рис. 1).

Рисунок 1. Утилита по работу с MBR.

В утилите BootSectGui следует выбрать загрузчик GNT60, установить флажок MBR и нажать кнопку Start, после чего появится окно с синим фоном и сообщением об успешном завершении процесса (см. рис. 2). 

Рисунок 2. Выбор параметров в утилите BootSetGui.

После этого перегружаемся и входим в ОС. Я ещё проверил уже рабочую систему несколькими антивирусами и файл dynwrapx.dll (C:\Users\<пользователь>\AppData\Local\Temp\) определялся как вирус (он был на всех машинах), поэтому решено было его тоже удалять. Возможно, это какая-то часть вируса… Удалился он легко, без вопросов, ошибок и предупреждений.

 

Вернуть последнее состояние

Если для виртуальной машины были сделаны снимки (снэпшоты) диска, то серверу можно вернуть последнее его рабочее состояние, соединив .avhd-файл с основным файлом .vhd [ http://насибов.рф/obedinenie-snimkov-v-hyper-v.html ]. Для этого файлу с расширением .avhd необходимо сделать расширение .vhd. Затем в консоли Hyper-V на хосте нажать правой кнопкой мыши и выбрать пункт Edit Disk (см. рис. 3).

Рисунок 3. Подключение снэпшота.

Появится мастер настройки, в котором нужно выбрать опцию соединения (Marge) (см. рис. 4),

Рисунок 4. Опция слияния снепшота с диском.

затем вариант применения снепшота к диску - родительскому (по умолчанию) или выбрать определённый, Next->Next->Finish, дождаться окончания процесса слияния (см. рис. 5).

Рисунок 5. Процесс слияния.

После этого файл-снепшот пропадёт, передав своё состояние основному диску. Далее включаем виртуальную машину и продолжаем работать.

Вывод: не всегда удаётся защититься от вирусной атаки и на предприятии всё же происходит заражение компьютеров. В этом случае системному администратору необходимо иметь под рукой набор восстановительных утилит, загрузочных дисков, наличие свободного дискового пространства.