Nemrég írtunk arról, hogy újabb mutációban visszatért a Gpcode kártevőcsalád. Ez a trójai és vírustulajdonságokkal is rendelkező fertőzés a számítógép merevlemezén megkeresi a felhasználó számára potenciálisan értékes adatokat – például Acrobat- és Word-dokumentumok, Excel-táblázatok, szövegfájlok, digitális fotók, C++ forráskódok –, majd titkosítja azokat. A program írója aztán úgy remél profitot szerezni, hogy megzsarolja a fertőzésnek áldozatul esett felhasználókat, akiktől a fájlok ismételt olvashatóvá tételéért cserébe váltságdíjat követel.

A korábbi verziók 660 bites RSA kulcsát a kriptográfiai algoritmus implementációjának gyengeségeit kihasználva a Kaspersky Labs szakemberei napokon belül visszafejtették, az új Gpcode.AK kódja viszont kifogott rajtuk és a vírusirtógyártókon általában. A feladat most jóval komplexebb: a kártevő kódjában található réseket ugyanis időközben az alkotó befoltozta, és a titkosító algoritmus bonyolultságát 660 bitről 1024 bitre növelte.

Részeredményeket azonban sikerült elérni. A Kaspersky Labs tegnap tett közzé egy olyan leírást, amelyet követve visszaállíthatók a Gpcode által titkosított fájlok. Az eljárás – bár az angol nyelvű instrukcióban minden lépés részletesen szerepel – eléggé bonyolult, ezért csak hozzáértő felhasználóknak érdemes próbálkozni vele.

A visszaállítást az teszi lehetővé, hogy a féreg úgy titkosítja a kiszemelt fájlokat, hogy minden esetben egy új állományt hoz létre, az eredetit pedig törli. A törölt fájlok viszont visszaállíthatók, ha az adatokat vagy legalábbis azok nagy részét nem írja felül a merevlemez – nem véletlen, hogy korábban is azt tanácsolták: a fertőzött gépeket ne kapcsolják ki vagy indítsák újra. Ehhez az orosz antivírusgyártó egy ingyenes, GPL licenc alatt terjesztett programot, a PhotoRec-et ajánlja azoknak, akiknek nincs egyéb lemez-visszaállító szoftverük.