Kaspersky ma sposób na GpCode'a
Firma Kaspersky Lab jak dotąd nie poradziła sobie z odszyfrowaniem 1024-bitowego klucza RSA, którego twórca wirusa Virus.Win32.Gpcode.ak użył do szyfrowania plików na zainfekowanych komputerach, ale znalazła inny sposób na odzyskanie danych.
Przed tygodniem uruchomiona została międzynarodowa inicjatywa „Zatrzymaj GpCode’a”, mająca na celu złamanie klucza. Firma zapraszała kryptologów, instytucje rządowe i naukowe, inne firmy antywirusowe i niezależnych fachowców do zmierzenia się z tym wyzwaniem. Na razie się to jednak nie udało.
Wczoraj poinformowano o opracowaniu sposobu na bezpłatne odzyskanie plików zaszyfrowanych tą metodą. Nie oznacza to jednak, że 1024-bitowy klucz został złamany. Do odzyskania danych wykorzystano fakt, iż podczas szyfrowania plików GpCode tworzy nowy plik obok pliku, który zostanie zaszyfrowany. Do tego nowego pliku szantażysta zapisuje zaszyfrowane dane z oryginalnego pliku, który następnie usuwa. Usunięty plik można przywrócić pod warunkiem, że dane na dysku nie zostały znacznie zmienione.
Wielu użytkowników zastanawiało się, w jakim celu Kaspersky doradza nierestartowanie komputera w razie infekcji oraz jak najszybszy kontakt z firmą. Odpowiedź otrzymaliśmy w najnowszym komunikacie. Specjaliści z Kaspersky Lab informują, że użytkownicy, którzy padli ofiarami wirusa, otrzymywali od nich porady dotyczące odzyskiwania utraconych danych przy użyciu dostępnych narzędzi. Większość tego typu programów posiada licencję shareware, dlatego wybór specjalistów padł na narzędzie o nazwie PhotoRec (do pobrania pod adresem: http://viruslist.pl/encyclopedia.html?cat=5&uid=5252), rozprowadzane na licencji GPL (General Public License). Program ten umożliwia odzyskanie plików ze zdjęciami, ale także dokumentów Microsoft Office, plików wykonywalnych, dokumentów PDF i TXT, jak również szeregu różnych archiwów plików.
Program świetnie radzi sobie z przywracaniem danych na dysku, ma jednak problem z przywracaniem dokładnych nazw i ścieżek plików. Aby temu zapobiec specjaliści z Kaspersky Lab opracowali mały, darmowy program StopGpcode (do pobrania stąd: http://www.kaspersky.com/downloads/misc/stopgpcode_tool.zip). Dokładny opis, jak przy pomocy PhotoRec i StopGpcode przywrócić utracone dane, znajduje się pod adresem: http://viruslist.pl/encyclopedia.html?cat=5&uid=5252.
Przypomnijmy, wirus GPCode, po dostaniu się do komputera ofiary, szyfruje najbardziej popularne pliki (doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h), po czym informuje użytkownika o możliwości ich odzyskania poprzez kontakt z jego twórcą i zakupienie u niego programu deszyfrującego.
