Файлы, зашифрованные вирусом Gpcode, стало возможно расшифровать

отметили
60
человек
в архиве
Файлы, зашифрованные вирусом Gpcode, стало возможно расшифровать
"Лаборатория Касперского" проинформировала пользователей о возможности восстановления файлов после атаки вируса Gpcode.ak. Как сообщалось ранее, зашифрованные Gpcode.ak файлы, не имея секретного ключа, в настоящее время расшифровать невозможно. Тем не менее, найдено оптимальное решение для их восстановления.

Дело в том, что при шифровании файлов Gpcode.ak сначала создает новый файл "рядом" с тем, который он собирается шифровать. В этот новый файл он записывает зашифрованные данные исходного файла, после чего удаляет исходный файл.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены. Именно поэтому эксперты "Лаборатории Касперского" с самого начала рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с ними, а обратившимся советовали использовать различные утилиты для восстановления удаленных файлов с диска. К сожалению, почти все утилиты для восстановления удаленных файлов распространяются на основе shareware-лицензий. Вирусные аналитики "Лаборатории Касперского" искали лучшее с точки зрения эффективности и доступности для пользователей решение, которое могло бы помочь восстановить файлы, удаленные Gpcode.ak после шифрования. Таким решением оказалась бесплатная утилита PhotoRec (http://www.cgsecurity.org/wiki/PhotoRec),
созданная Кристофом Гренье (Christophe Grenier) и распространяющаяся на основе лицензии GPL.
Добавил Koreps Koreps 17 Июня 2008
Комментарии участников:
Dimonuch
+3
Dimonuch, 17 Июня 2008 , url
Я думал они RSA-1024 сломали :) А оказалось что предлагается банальное восстановление удаленного файла. Все совсем не так радужно.

Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены.

формулировка неправильная. Диск может быть хоть 100 раз сильно изменен, но изменения не должны касаться той области, где раньше лежал файл и которую ныне система считает свободной. Если там хоть кластер был перезаписан — изначального файла вы не получите.

рекомендовали пострадавшим пользователям не перезагружать компьютер и связаться с ними, а обратившимся советовали использовать различные утилиты для восстановления удаленных файлов с диска.

а в это время система злостно занимает освободившееся место каким-нибудь логом :)
aleksejtimofeev
+4
aleksejtimofeev, 17 Июня 2008 , url
Информация по теме: Брюс Шнайер: Что курят у Касперского?

В настоящее время еще никто не смог факторизовать 1024-бит ключ, кроме разве что секретных государственных служб, а инициатива Лаборатории Касперского является не более чем саморекламой. В настоящее время рекордом по факторизации является 1023 битный ключ определенного вида 2^1039 – 1, на взлом которого потребовалось около 11 месяцев.
Dimonuch
+2
Dimonuch, 17 Июня 2008 , url
ну уже была как-то новость о том, что по вычислительным способностям некоторые ботнеты превосходят суперкомпьютеры мира. Остается только захватить власть и использовать их на вычисление ключа :)
busla
+1
busla, 17 Июня 2008 , url
если бы система — сам вирус, шифруя следующий файл, основательно перелопачивает диск.
Dimonuch
0
Dimonuch, 18 Июня 2008 , url
согласен, вполне возможно что и так.
Koreps
0
Koreps, 17 Июня 2008 , url
Как известно, существует возможность восстановить удаленные файлы, если данные на диске не были сильно изменены.
формулировка неправильная. Диск может быть хоть 100 раз сильно изменен, но изменения не должны касаться той области, где раньше лежал файл и которую ныне система считает свободной. Если там хоть кластер был перезаписан — изначального файла вы не получите.

Ну они формулировали для обычных юзеров:)
scas
0
scas, 17 Июня 2008 , url
блин как все таки они предсказуемы
news2.ru/story/106825/comment174190/
zOOOm
+1
zOOOm, 17 Июня 2008 , url
заголовок вводит в заблуждение: не "стало возможно расшифровать", а — "стало возможным попробовать восстановить".
greatorange
0
greatorange, 17 Июня 2008 , url
и восстановить не зашифрованные файлы, а оригинальные
greatorange
+1
greatorange, 17 Июня 2008 , url
Да уж эти заголовки по-типу желтой прессы…


Войдите или станьте участником, чтобы комментировать