Wiederherstellung von verschlüsselten Dateien nach Gpcode-Attacke möglich

Mit dem kostenlosen Tool "PhotoRec" können gelöschte Dateien wieder gerettet werden

(23.06.08) - Nachdem Kaspersky Lab Anfang des Monats vor der neuen Modifikation des Erpresser-Virus Gpcode namens Virus.Win32.Gpcode.ak gewarnt und um die Mithilfe von betroffenen Usern gebeten hatte, hat das Unternehmen nun einen Weg gefunden, Dateien nach einer Gpcode-Attacke wiederherzustellen.

Dazu muss man wissen, wie Gpcode.ak arbeitet: Er erstellt zunächst eine neue Datei "neben" derjenigen, die er verschlüsselt. In diese neue Datei schreibt der Virus die verschlüsselten Daten der Ausgangsdatei, woraufhin er die ursprüngliche Datei löscht.

Da gelöschte Daten wiederhergestellt werden können, wenn die Daten auf der Festplatte nicht allzu stark verändert wurden, haben die Experten von Kaspersky Lab den betroffenen Anwendern von vornherein empfohlen, den Computer nicht neu zu starten und sich mit Kaspersky Lab in Verbindung zu setzen. Nun haben die Virenanalysten mit dem kostenfreien Tool "PhotoRec" eine Lösung gefunden, mit Hilfe derer die von Gpcode.ak gelöschten Dateien wiederhergestellt werden können. PhotoRec ist auf der Basis einer GPL-Lizenz verfügbar und wird als Teil der neusten Version des Pakets "TestDisk" bereitgestellt.

Das Problem der Wiederherstellung von Dateien auf einem ausgewählten Abschnitt der Festplatte wird von dem Tool problemlos gelöst. Die Wiederherstellung des genauen Dateinamens und Pfades stellt allerdings einige Schwierigkeiten dar. Das Unternehmen hat zur Lösung dieses Problems daher das kostenlose Programm "StopGpcode" entwickelt, das die Wiederherstellung der ursprünglichen Dateinamen und -Pfade ermöglicht. (Kaspersky: ma)