Ein Mittel gegen den Erpresser-Virus »Virus.Win32.Gpcode.ak« hat die IT-Sicherheitsfirma Kaspersky Lab entwickelt. Mithilfe eines Open-Source-Tools lassen sich Dateien wiederherstellen, die der Schädling gelöscht hat.

Virus.Win32.Gpcode.ak ist ein alter Bekannter in neuem Gewande. Der Virus trat bereits mehrfach in Erscheinung, verwendete aber immer dieselbe Masche: Er erstellt auf dem Rechner des Opfers von Dateien, etwa Dokumenten und E-Mail-Files, eine Kopie. Diese verschlüsselt er dann und löscht anschließend die unverschlüsselten Originaldaten.

Wer wieder Zugang zu diesen Informationen erhalten möchte, bekommt gegen Zahlung einer »Gebühr« vom Angreifer den passenden Entschlüsselungscode. Kaspersky hat nun mit dem Tool »PhotoRec« eine Möglichkeit gefunden, mit der sich die Daten wiederherstellen lassen, die Gpcode.ak gelöscht hat.

Entwickelt wurde PhotoRec von Christophe Grenier. Das Tool ist Teil des Softwarepakets Testdisk, das der Autor im Rahmen einer Open-Source-Lizenz kostenlos zur Verfügung stellt. Mit Testdisk lassen sich gelöschte Partitionen, Dateizuordnungstabellen und Files wiederherstellen.

Als Ergänzung hat Kaspersky das kostenlose Programm »StopGpcode« entwickelt. Es ermöglicht es, den ursprünglichen Dateipfad und -namen zu rekonstruieren.

Den Rechner nicht neu starten

Damit die Tools ihre Arbeit tun können, ist es wichtig, dass Opfer von Gpcode ihren Rechner nicht neu starten oder mit ihm weiterarbeiten. In diesem Fall werden auf der Festplatte Bereiche überschrieben, auf denen die Originaldaten ursprünglich platziert waren.

Auf seiner Web-Seite zu Virus.Win32.Gpcode.ak beschreibt Kaspersky im Detail, wie sich die vom Virus gelöschten Originalinformationen wiederherstellen lassen. Auf der Seite sind auch die Links zu den Tools zu finden.

Die Sicherheitsfirma bittet Nutzer der Programme, Christophe Grenier eine Spende zukommen zu lassen, wenn ihnen das Tool bei der Rettung ihrer Daten geholfen hat.