Ein weiterer Weg, die von Gpcode geschädigten Dateien wiederherzustellen

Im letzten Blogeintrag zum Thema Gpcode haben wir bereits darüber berichtet, dass wir eine Methode zur Wiederherstellung von Dateien gefunden haben, die durch dieses Schadprogramm geschädigt wurden – zusätzlich zu den Dateien, die mit Hilfe des Tools PhotoRec wiederhergestellt werden.

Verfügt der Anwender über eine gewisse Anzahl nicht verschlüsselter Dateien, die mit den von Gpcode verschlüsselten identisch sind, so können diese Datei-Pärchen (verschlüsselte und identische unverschlüsselte Dateien) bei der Wiederherstellung anderer Dateien auf dem angegriffenen Computer von Nutzen sein. Dieses Verfahren wird von dem Tool StopGpcode2 verwendet.

Woher aber die unverschlüsselten Dateien nehmen? Zum einen können unverschlüsselte Datei-Versionen nach dem Einsatz des Tools PhotoRec zum Vorschein kommen. Überdies können sich unverschlüsselte Dateien im Backup-Speicher oder auf mobilen Datenträgern befinden (z.B. können sich die Ausgangsdateien von Fotografien, die auf der Festplatte eines von Gpcode attackierten Computers gespeichert wurden, noch auf der Speicherkarte der Kamera befinden). Unverschlüsselte Dateien können ebenso auf einer Netzressource abgespeichert sein, auf die Gpcode keinen Zugriff hatte (Filme und Videoclips beispielsweise auf einem allgemein zugänglichen Server).

Garantieren können wir eine Wiederherstellung von Dateien mit dieser Methode allerdings nicht, denn dafür müssen bestimmte Voraussetzungen erfüllt werden, die mit dem Vorhandensein nicht chiffrierter Kopien der infizierten Dateien und einigen Besonderheiten bezüglich der Ausrüstung des angegriffenen Systems zusammenhängen. Da wir aber trotz allem im Laufe unserer Untersuchungen recht gute Ergebnisse erzielen konnten (Wiederherstellung von 80% der verschlüsselten Dateien) bieten wir betroffenen Anwendern an, zu versuchen, Dateien mit Hilfe dieser Methode wiederherzustellen.
Je mehr Datei-Paare gefunden werden, desto mehr Daten können wiederhergestellt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.