資訊安全解決方案領導大廠卡巴斯基,提供受到Gpcode.ak攻擊的使用者,復原檔案的方法。過去稍早的報告,在沒有私人金鑰的情況下,是無法解除這些被Gpcode.ak加密的檔案,但現在已經發現了復原加密檔案的其中一個方法。
在進行檔案加密之前,Gpcode.ak會先建立一個新的檔案在原始檔案旁邊,這個檔案的內容資料與原始的檔案中的內容資料相同,並且對於這個新檔案進行加密。一旦檔案加密完成,病毒即將原始檔案刪除。
大家都知道,如果資料還在電腦的硬碟當中並且未經重新修改,那麼刪除的檔案是可以再復原的。這也是為什麼,從一開始卡巴斯基實驗室建議使用者,若電腦已遭受Gpcode.ak的攻擊,盡快與電腦病毒專家聯繫,而不要重新啟動受感染的電腦。與我們聯繫的使用者,我們已經建議使用者可以使用各種恢復被刪除檔案的工具來進行恢復,可惜的是,大部分的工具都屬於分享軟體的授權方式,因此無法直接提供工具給所有的使用者。卡巴斯基實驗室的分析師找到最有效的工具來幫助使用者復原被 Gpcode.ak 所刪除的檔案。free PhotoRec utility 是由 Christophe Grenier 開發並支援 GPL授權,發展而成的解決方案。
起初,這個工具被使用來作為圖形檔案的復原,因此而命名為PhotoRec(Photo Recovery的簡稱)。接著,它的功能逐漸延伸,現在它可以被用在復原Microsoft Office文件、執行檔、PDF和TXT文件,以及許多不同版本(view list of formats)的檔案紀錄。
PhotoRec 的復原檔案功能,選擇分割的表現相當傑出。然而,恢復確切的名稱與路徑仍然是一個難題。對這個部份,卡巴斯基實驗室已經開發出一個小型並免費的工具StopGpcode (71.2KB的壓縮檔),能回復原始檔案的名稱以及完整的路徑。
卡巴斯基實驗室建議這些受到Gpcode.ak病毒威脅的使用者,寧願捐贈給PhotoRec的作者也不要付費給網路罪犯。
詳細的PhotoRec和StopGpcode復原檔案的手動操作說明已經更新至Gpcode.ak的說明中 http://www.viruslist.com/en/viruses/encyclopedia?virusid=313444.。
