Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kolejny sposób przywrócenia plików po ataku Gpcode'a

Witalij Kamliuk
Kaspersky Lab Expert
Dodany 27 czerwca 2008, 09:29 CEST

W naszym poprzednim poście na temat Gpcode'a pisaliśmy, że udało nam się znaleźć sposób przywrócenia plików innych niż te, które mogą zostać odzyskane przy użyciu narzędzia PhotoRec.

stopgpcode2.jpg

Okazuje się, że jeśli użytkownik posiada pliki zaszyfrowane przez Gpcode'a i niezaszyfrowane wersje tych plików, wtedy pary plików (zaszyfrowany i odpowiadającym mu niezaszyfrowany plik) mogą zostać wykorzystane do przywrócenia innych plików na zaatakowanej maszynie. Taką metodę wykorzystuje narzędzie StopGpcode2.

Gdzie można znaleźć te niezaszyfrowane pliki? Można wykorzystać do tego narzędzie PhotoRec. Ponadto, pliki te można znaleźć w folderze kopii zapasowych lub na nośniku przenośnym (np. oryginalne pliki zdjęć skopiowane na dysk twardy komputera zaatakowanego przez Gpcode'a mogą nadal znajdować się na karcie pamięci aparatu). Niezaszyfrowane pliki mogły również zostać zapisane w jakimś zasobie sieciowym (np. filmy lub wideoklipy na publicznym serwerze), gdzie wirus Gpcode nie miał dostępu.

Nie możemy zagwarantować, że pliki zostaną przywrócone, ponieważ zastosowana metoda zależy nie tylko od tego, czy użytkownik posiada niezaszyfrowane wersje zainfekowanych plików, ale również od zainfekowanej maszyny. Jednak wyniki, jakie uzyskaliśmy podczas testów (80% zaszyfrowanych plików zostało przywróconych) pokazują, że warto to zrobić, jeśli zależy ci na odzyskaniu plików.

Im więcej par plików można znaleźć, tym więcej danych można odzyskać.

Szczegółowe instrukcje dotyczące wykorzystania narzędzia StopGpcode2 można znaleźć w opisie Virus.Win32.Gpcode.ak.