セキュリティコンテンツの管理ソリューション分野をリードするKaspersky Lab (カスペルスキーラブ、本社:露モスクワ、CEO:ユージン・カスペルスキー)は、ランサムウェア「Gpcode」の最新バージョン「Win32. Gpcode.ak」で暗号化されたファイルを復元する方法を公開しました。
セキュリティコンテンツの管理ソリューション分野をリードするKaspersky Lab (カスペルスキーラブ、本社:露モスクワ、CEO:ユージン・カスペルスキー)は、ランサムウェア「Gpcode」の最新バージョン「Win32. Gpcode.ak」で暗号化されたファイルを復元する方法を公開しました。現時点では、秘密鍵を使わずにファイルを復号化する方法は見つかっていませんが、暗号化されたファイルを復元する方法が確認されました。
今回確認された方法は、Gpcode.akがファイルを暗号化する前に、暗号化するファイルの「隣り」に新しいファイル(元のファイルの暗号化されたデータを含むファイル)を作成するというパターンを利用したものです。ファイルの暗号化が完了すると、ウイルスは元のファイルを削除します。
よく知られているとおり、データがハードディスク上で大きく変更されていなければ、削除されたファイルを復元可能です。このためKaspersky Labでは、Gpcode.akに感染した疑いのあるコンピュータを再起動せずに弊社まで連絡いただくことを推奨し、ご連絡いただいた方にはさまざまなファイル復元ユーティリティをお勧めしてきました。しかし、これらのユーティリティのほとんどはシェアウェアであるため、弊社ではGpcode.akによって削除されたファイルの復元に最も効果的で入手もしやすいユーティリティを探しておりました。その結果、Christophe Grenier氏によって開発されGPLライセンス(フリーライセンス)で配布されているPhotoRec(*英語)が最適なソリューションであるという結論に至りました。
このユーティリティは元々、画像ファイルの復元を目的として開発されたものです。後に機能が拡張され、Microsoft Office文書、実行ファイル、PDF形式のファイル、テキストファイル、さらにはさまざまな形式の圧縮ファイルも復元できるようになりました(対応するファイル形式はこちら *英語)。
PhotoRecユーティリティは、最新バージョンのTestDisk パッケージ(ZIP ファイル、 1.43 MB)に含まれています。
PhotoRecは選択されたパーティションでのファイル復元では優れた性能を発揮しますが、ファイル名やパスを正確に復元することはできません。この問題をクリアするために、Kaspersky Labでは、元のファイル名とパスを復元する無料ユーティリティであるStopGpcode (ZIP ファイル、71.2 KB)を開発いたしました。
PhotoRecおよびStopGpcodeを使ってファイルを復元する方法については、こちらをご参照ください。
2008年6月30日更新: Kaspersky Lab、暗号化されたファイルを復元するための新たな方法を確認
Kaspersky Labのウイルスアナリストは、Gpcode.akによって暗号化されたファイルの復号化を行う目的でStopGpcode2ユーティリティを開発しました。復号化には、暗号化されていないファイルと暗号化されたファイルを使います。暗号化されていないファイルを入手するには、PhotoRecを使用してファイルを復元します。また、バックアップやリムーバブルメディア、ネットワークリソースなどに残っている暗号化されていないバックアップコピーを使用することもできます。ふたつのファイルをペアで使用することで、StopGpcode2はGpcode.akによって暗号化されたファイルを復号化できます。
PhotoRecおよびStopGpcodeを使ってファイルを復元する方法については、こちらをご参照ください。
