Восстановление файлов после атаки Gpcode.ak

[Гриша]

Зашифрованные Gpcode.ak файлы,не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, мы нашли оптимальное решение для их восстановления.

Дело в том, что при шифровании файлов Gpcode.ak сначала создает новый файл рядом с тем, который он собирается шифровать. В этот новый файл он записывает зашифрованные данные исходного файла, после чего исходный файл удаляет.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены. Именно поэтому мы с самого начала рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с нами, а тем, кто к нам обратился, советовали использовать различные утилиты для восстановления удаленных файлов с диска.К сожалению, почти все утилиты для восстановления удаленных файлов распространяются на основе shareware лицензий. Мы искали лучшее - с точки зрения эффективности и доступности для пользователей - решение, которое могло бы помочь им восстановить файлы, удаленные Gpcode.ak после шифрования. И нашли его.

Это замечательная бесплатная утилита PhotoRec, созданная Cristophe Grenier и распространяющаяся на основе лицензии GPL.
Изначально утилита создавалась как средство для восстановления графических файлов (видимо, отсюда и ее название PhotoRec - сокращение от Photo Recovery). Затем ее функционал был расширен, и в настоящее время она может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы.

Полный список поддерживаемых форматов можно найти тут:
Ссылка на официальную страницу утилиты PhotoRec: http://www.cgsecurity.org/wiki/PhotoRec
Утилита PhotoRec поставляется в составе пакета TestDisk.
Ссылка на последнюю версию пакета TestDisk с утилитой PhotoRec: http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip

Следует отметить, что утилита PhotoRec отлично справляется со своей задачей — восстановлением данных файлов на выбранном разделе. Однако затем возникает трудность восстановления точных имен и путей файлов. Здесь мы решили помочь пользователям и разработали небольшую бесплатную программу Stopgpcode.

Мы рекомендуем пострадавшим от действий Gpcode.ak пользователям, вместо того, чтобы платить злоумышленнику, отправиться на http://www.cgsecurity.org/wiki/Donation и внести свой вклад в добровольные пожертвования автору замечательной утилиты PhotoRec!

Возможно, многие пользователи справятся с задачей и без дополнительного инструктажа, но мы считаем нужным показать ход работы по восстановления удаленных файлов в максимально развернутом виде.
Ниже приведена пошаговая инструкция по восстановлению файлов ручным способом с использованием утилиты PhotoRec.

1.С помощью отдельного (не зараженного) компьютера скачиваем пакет TestDisk с утилитой PhotoRec (http://www.cgsecurity.org/testdisk-6.10-WIP.win.zip), разархивируем и сохраняем на внешний носитель, например, на флешку.

2.Подключаем внешний носитель с утилитой PhotoRec к зараженному компьютеру (это безопасно, поскольку Gpcode.ak сам не распространяется и после запуска самоудалился).

3.Запускаем утилиту PhotoRec (файл photorec_win.exe в директории win сохраненного пакета):




4.Выбираем нужное устройство диска, с которым будет работать утилита, и нажимаем клавишу «ENTER» для продолжения:




Если в вашей системе используется несколько дисковых устройств, то этот шаг придется повторить для каждого устройства.

5.Далее выбираем формат таблицы разделов и нажимаем клавишу «ENTER» для продолжения. Думаю, что всем подойдет формат «Intel»:



6.Выбираем нужный раздел диска, с которым будет работать утилита, и нажимаем клавишу «ENTER» для продолжения:



Если на вашем диске используется несколько разделов, то этот шаг придется повторить для каждого раздела.


7.На этом шаге выбираем тип файловой системы и нажимаем клавишу «ENTER» для продолжения. Всем пользователям Windows подойдет тип «Other»:



8.Далее выбираем, где искать удаленные файлы, и нажимаем клавишу «ENTER» для продолжения. Здесь следует выбрать опцию «Whole» для поиска удаленных файлов по всему дисковому пространству:



9.Затем PhotoRec предлагает указать каталог для сохранения восстановленных файлов. Используя имеющийся у него файловый браузер, необходимо перейти в корневую директорию (переход осуществляется при помощи выбора каталога «..» и нажатия клавиши «ENTER»). В корневой директории вы увидите имеющиеся в системе диски. Нужно выбрать съемный носитель (или сетевой) и на нем папку, в которой будут сохраняться файлы. Очень важно, чтобы носитель был внешним, иначе удаленные файлы на диске могут повредиться. После выбора каталога для продолжения нажмите клавишу «Y».




После нажатия клавиши «Y», вы увидите, как идет процесс восстановления файлов:



Дождитесь завершения сканирования и переходите к следующему шагу.

10.Теперь, когда у вас есть восстановленные файлы на съемном носителе, половина дела сделана. Однако, открыв каталог, в котором находятся восстановленные файлы, вы увидите там файлы, имена которых не соответствуют именам файлов на вашем жестком диске.
Выглядит это примерно так:



К сожалению, это ограничение накладывается методом, используемым в утилите PhotoRec. Утилита восстанавливает содержимое файлов, но ничего не знает о том, где находились эти файлы в файловой системе. Естественно, увидев тысячи восстановленных файлов с непонятными именами, всякий пользователь придет в замешательство.

Чтобы упростить поиск ценных для вас файлов, мы подготовили бесплатную утилиту Stopgpcode, которую можно использовать вместе с PhotoRec. Эта утилита рассортировывает и переименовывает восстановленные файлы.Чтобы рассортировывать и переименовать восстановленные файлы, необходимо на другом компьютере скопировать утилиту Stopgpcode на флешку, подключить флешку к зараженному компьютеру и запустить ее в командной строке с определенными параметрами.

В качестве параметров нужно указать:
путь к разделу с зашифрованными файлами, например «С:\»
путь, где хранятся восстановленные файлы, например «W:\gpc\recovered»
путь, куда сохранить файлы с восстановленными именами и путями, например «W:\gpc\renamed»


Утилита пробежит по всему жесткому диску и сопоставит размеры восстановленных и зашифрованных файлов. На основе соответствия размеров программа попытается угадать, где находился восстановленный файл, и как он назывался.
Восстановленные файлы с угаданными именами утилита сохранит в поддиректории sorted, воссоздавая оригинальную структуру каталогов, чтобы было проще найти файл по полному пути. Те файлы, имен которых восстановить не удастся, утилита сохранит в поддиректории conflict

[ALEX(XX)]

И насколько эффективно?

[Гриша]

Пока не смотрел,времени нет

[zerocorporated]

И насколько эффективно?

Если данные на кластерах расположены последовательно то утилита файл восстановит корректно. В ином случае данные из разных удаленных файлов просто перемешаются.

P.S: Те пострадавшие от этого вредоноса что делали дефрагментацию имеют значительно большие шансы восстановить данные.

[senyak]

А кто выпустил эту утилиту? Не ЛК?

[Гриша]

Утилита PhotoRec была создана Cristophe Grenier,а утилита "stopgpcode_tool" была разработана Борисом Ямпольским,вирусным аналитиком Лаборатории Касперского.

[ALEX(XX)]

P.S: Те пострадавшие от этого вредоноса что делали дефрагментацию имеют значительно большие шансы восстановить данные.

Вобщем, как я и думал, что толку будет не сильно много... Но, хоть костыль, всё же даёт юзерам надежду...