Die Gpcode-Modifikation Virus.Win32.Gpcode.ak verschlüsselt Bilder und Dokumente von Anwendern und fordert diese dann auf, ein Tool zur Entschlüsselung zu kaufen. Forscher fanden bislang keinen Weg, die Dokumente ohne das Tool wieder herzustellen und Kaspersky bat sogar um die Mithilfe der User. Nun hat das Unternehmen laut eigenen Angaben einen Weg gefunden, die Dateien nach einer Gpcode-Attacke wieder zu entschlüsseln.
Gpcode.ak erstellt zunächst eine Datei neben derjenigen, die er verschlüsselt. In diese neue Datei schreibt er die verschlüsselten Daten der Ausgangsdatei und löscht die ursprüngliche Datei. Gelöschte Daten können wieder hergestellt werden, wenn die Daten nicht zu fest verändert wurden. Mit PhotoRec hat Kaspersky ein kostenloses Tool, mit dem die von Gpcode.ak gelöschten Daten wieder hergestellt werden können. Das Programm ist auf Basis einer GPL verfügbar und wird als Teil der neusten Version des Pakets TestDisk zur Verfügung gestellt. Für die Wiederherstellung des genauen Dateinamens und des Pfades hat Kaspersky zudem das kostenlose Programm StopGpcode entwickelt. Genaue Anweisungen zur manuellen Wiederherstellung der Dateien mit Hilfe der zwei Tools finden Sie
hier.
(abr)
