Narzędzie do walki z wirusem Virus.Win32.Gpcode.ak

Ostatnia aktualizacja: 07 kwietnia 2021 ID artykułu: 1809
 
 
 
 

W chwili obecnej nie jest możliwe odszyfrowanie plików zaszyfrowanych przy użyciu narzędzia Gpcode. Jednak, można użyć narzędzia PhotoRec w celu odzyskania oryginalnych plików, które zostały usunięte przez Gpcode po utworzeniu przez wirusa zaszyfrowanych plików.  

Narzędzie może być wykorzystywane do odzyskiwania dokumentów Microsoft Office plików wykonywalnych, dokumentów PDF i TXT, a także niektórych archiwów. Pełna lista obsługiwanych formatów plików

PhotoRec jest częścią pakietu TestDisk.

Poniżej znajduje się szczegółowy opis ręcznego przywrócenia za pomocą PhotoRec usuniętych plików: 

1. W celu pobrania narzędzia TestDisk użyj innego, niezainfekowanego komputera zawierającego PhotoRec

2. Zapisz PhotoRec tna urządzeniu zewnętrznym, i podłącz to urządzenie do zainfekowanego komputera (nie będzie to stanowiło żadnego zagrożenia Gpcode.ak nie będzie mógł się rozprzestrzenić).  

3. Uruchom PhotoRec (plik nazywa się photorec_win.exe, i znajduje się w katalogu win w pakiecie TestDisk): 

 

4. Do wyszukiwania plików wybierz docelowy dysk dla PhotoRec, a następnie naciśnij ENTER by kontynuować: 

 

 

Informacja Jeśli w systemie masz kilka dysków twardych, należy wykonać ten krok dla każdego dysku twardego (np. po odzyskaniu plików z jednego dysku, należy powtórzyć ten proces dla następnego dysku).  

 

5. Wybierz rodzaj tablicy partycji (zazwyczaj 'Intel') i naciśnij ENTER by kontynuować. 

 

 

6. Wybierz partycję, na której chcesz odzyskać pliki i naciśnij "Enter" by kontynuować. 

 

Informacja Jeśli dysk ma kilka partycji, należy powtórzyć ten krok dla każdej z nich.  

 

7. Wybierz typ systemu plików (użytkownicy Windows powinni wybrać 'Other' (Inny)) i nacisnąć ENTER aby kontynuować. 

 

8. Wybierz, gdzie należy szukać usuniętych plików i by kontynuować naciśnij ENTER. Wybierz "Whole" (Cały) aby przeszukać cały dysk pod kątem usuniętych plików. 

 

9. Narzędzie PhotoRec poprosi o określenie katalogu docelowego, gdzie będą zapisane odzyskane pliki. Użyj przeglądarki plików PhotoRec w celu przeniesienia do głównego katalogu (wybierając ".." i naciskając ENTER). 

Katalog główny wyświetli dyski Twojego systemu Wybierz odpowiedni dysk wymienny (lub sieć) i folder, w którym chcesz zapisać odzyskane pliki. Istotne jest, by wybrać dysk zewnętrzny (tzn. nie wybieraj dysku na zainfekowanym komputerze, ponieważ usunięte pliki mogą być uszkodzone).  

Przed odzyskiwaniem plików, należy się upewnić, że na dysku został utworzony osobny katalog (np. "odzyskane") i wybierz ścieżkę do tego katalogu, aby zapisywać odzyskane pliki do tego katalogu, w ten sposób unikniesz błędów podczas procesu odzyskiwania. Po wybraniu katalogu, naciśnij "Y". 

 

Po naciśnięciu "Y", wyświetlone zostanie działanie procesu przywracania plików. Należy pamiętać, że proces ten może trwać bardzo długo. 

 

Przed podjęciem dalszego kroku zaczekaj na zakończenie skanowania. 

10. Odzyskane pliki znajdują się teraz na wybranym dysku zewnętrznym. Po otwarciu katalogu, który zawiera odzyskane pliki, można zauważyć, że nazwy plików nie odpowiadają oryginalnym nazwom plików na dysku twardym.  

Nazwy plików będą wyglądać mniej więcej tak:  

 

Spowodowane jest to sposobem działania narzędzia PhotoRec, i nie należy się tym niepokoić. Ponadto, mimo że narzędzie przywróci zawartość plików, nie będzie można ustalić ich oryginalnej lokalizacji.  

Do zakończenia działania procesu zostało utworzone narzędzie  StopGpcode, które posortuje i zmieni nazwy przywróconym plikom. 

  • Na innym komputerze, pobierz narzędzie stopgpcode.zip i skopiuj je na napęd flash USB
  • Przenieś napęd flash na zainfekowany komputer i uruchom Wiersz poleceń wybierając kolejno START -> (WSZYSTKIE) PROGRAMY -> Akcesoria 
  • Wybierz napęd flash USB wpisując literę jego napędu, np. W. 
  • Uruchom narzędzie z linii poleceń wpisując: "STOPGPCODE -r -i -

np.: STOPGPCODE -r W:\ RECOVERED -i ?:\ -o W:\SORTED" 

 

Narzędzie będzie przetwarzać cały dysk i porównywać rozmiary zaszyfrowanych i odzyskanych plików. Program będzie korzystał z rozmiaru pliku jako podstawy do określenia oryginalnej lokalizacji i nazwy każdego odzyskanego pliku.  

Narzędzie postarała się ustalić poprawną nazwę i lokalizację każdego pliku, odtworzone oryginalne nazwy plików i folderów będą w folderze o nazwie "sorted". Jeśli narzędzie nie będzie mogło ustalić oryginalnej nazwy pliku, plik zostanie zapisany do folderu o nazwie "conflicted"

 
 
 
 
 
Czy wynik wyszukiwania był zadowalający?
Dziękujemy za Twoją opinię!