Jak vyřešit útok viru Gpcode

18. 6. 2008

Sdílet

Bez privátního klíče sice zašifrované soubory není možné rozšifrovat, postup obnovy však přesto existuje. Virus Gpcode totiž funguje tak, že soubor nejprve zašifruje, čímž vytvoří soubor nový a ten původní pak smaže. Z nástrojů pro obnovu, které jsou zdarma, lze doporučit například PhotoRec šířený pod licencí GPL

Společnost Kaspersky Lab přišla s řešením problému trojského koně Gpcode.

***
Nově objevená varianta trojského koně Gpcode zašifruje postiženému data. Autoři programu potom uživatele vydírají, respektive požadují „výkupné“ za obnovení původních dat (tzv. útok typu ransomware). Podrobnosti: Trojský kůň šifruje soubory a vydírá.
***

Bez privátního klíče sice zašifrované soubory není možné rozšifrovat, postup obnovy však přesto existuje. Virus Gpcode totiž funguje tak, že soubor nejprve zašifruje, čímž vytvoří soubor nový a ten původní pak smaže. Z nástrojů pro obnovu, které jsou zdarma, lze doporučit například PhotoRec šířený pod licencí GPL (původně šlo o nástroj pro obnovu grafických souborů - viz název, nyní ale zvládne širší paletu typů souborů včetně formátů MS Office, PDF, spustitelných souborů a archivů). Existuje i řada podobných sharewarových produktů. PhotoRec může mít problém s obnovou původních názvů souborů a jejich umístění (cest). Kaspersky Lab proto přidává nástroj StopGpcode, který by měl vyřešit i tuto potíž.
V případě nakažení virem Gpcode je samozřejmě důležité použít opravnou utilitu dříve, než dojde k rebootu počítače. Obecně je úspěšnost obnovy tím vyšší, čím méně změn proběhlo na pevném disku. Kaspersky Lab současně doporučuje těm, kteří byli problémem postiženi a vyřešili ho pomocí nástroje PhotoRec, aby podpořili převodem menší finanční částky autora této utility.

Poznámka: Záludnější byl byl virus fungující tak, že by zašifrovaná data vkládal do stejného souboru nebo původní soubor namísto smazání nahradil náhodnými daty.

Autor článku