Erpresser-Virus Gpcode.ak austricksen
Der seit Anfang Juni gemeldete Erpresser-Virus “Virus.Win32.Gpcode.ak” scheint einigen Kopfzerbrechen zu bereiten. Immerhin hatte Kaspersky einen Auruf gestartet sich an der Entschlüsselung des RSA-Codes zu beteiligen. Da dieser jedoch sehr stark verschlüsselt ist, ist es fraglich wann dieser Schadroutine wirksam begegnet werden kann.
Wer nun von diesem Virus betroffen ist, der sollte nicht den Kopf in den Sand stecken, oder gar den Erpressern die geforderte Summe bezahlen, sondern erst einmal besonnen bleiben.
Wer regelmäßig Backups anlegt und diese auslagert sollte erst einmal weniger von den Befall betroffen sein. Und wer kein Backup hat … naja, der hat auch keine wichtigen Daten. In diesem Fall kann man die Festplatte formatieren, und das Betriebssystem wieder neu aufsetzen.
Sollten nun trotz fehlendem Backup trotzdem wichtige Daten verschlüsselt worden sein, dann könnte man versuchen sich mit einem Trick zu behelfen.
Der Virus schreibt die Daten in eine neue Datei und verschlüsselt diese dann. Anschließend wird die Original-Datei gelöscht. Es dürfte bekannt sein, das gelöschte Dateien nicht von der Festplatte verschwinden, sondern das lediglich der Bereich zum Überschreiben frei gegeben wird.
Deshalb sollte man auch in diesem Fall keine umfangreiche Festplatten-Operationen vornehmen, damit diese frei gegebenen Bereiche nicht mit anderen Daten überschrieben werden.
Nun kann man mit einem Datenwiederherstellung-Tool versuchen diese gelöschten Daten wieder herzustellen. Mit etwas Glück mag dies gelingen. Die meisten Programme dieser Art sind kostenpflichtig oder die es nicht sind, funktionieren nur eingeschränkt.
Hier könnte evtl. das Programm PhotoRec weiter helfen, welches unter GPL verfügbar ist.
Idealerweise sollte man das Programm nicht auf die Festplatte/Partition herunterladen und installieren, auf der die gelöschten Daten wieder hergestellt werden sollen.
Auch wenn die Dateinamen der gelöschten Daten nicht immer wieder hergestellt werden können, ein Umbenennen einer Datei sollte hier das geringste Problem sein. Und wenn man nicht weiß, welche Endung diese Datei hatte, dann sollte man sich wirklich mal ein paar Gedanken über ein funktionierendes Backup machen 
.
Zum TecChannel-Artikel …
