Una forma más de recuperar los documentos después del ataque de Gpcode

En un mensaje anterior sobre Gpcode ya hemos mencionado que Kaspersky Lab ha encontrado un método de recuperar los documentos cifrados por este programa nocivo, en adición al método de recuperación mediante la utilidad PhotoRec.

Se ha descubierto que si el usuario tiene cierta cantidad de copias de ficheros no cifrados y los mismos ficheros cifrados por Gpcode, estos pares de ficheros (cifrados y no cifrados) le pueden ayudar a recuperar otros ficheros del equipo atacado. StopGpcode2 usa precisamente esta forma de abordar el problema.

Pero ¿dónde buscar los ficheros no cifrados? Las versiones no cifradas de los ficheros pueden ser las recuperadas por la utilidad PhotoRec. Además, pueden haber copias no cifradas de los ficheros en las copias de seguridad (backup) o en un medio extraíble (por ejemplo, si el fichero fue copiado desde una cámara fotográfica, es muy probable que en ésta hayan quedado los ficheros originales). Los ficheros no cifrados también pueden estar almacenados en algún recurso de red que no haya sufrido los efectos del virus Gpcode (por ejemplo, películas y clips de vídeo que estén en un servidor de acceso público).

Si embargo, no podemos garantizar la recuperación de los ficheros debido a las peculiaridades de las exigencias de este método, que depende de la presencia de copias no cifradas de algunos ficheros afectados y de algunas particularidades del hardware del sistema atacado. De todos modos, considerando que durante nuestras investigaciones hemos recibido buenos resultados (recuperación del 80% de los ficheros cifrados), proponemos este método a los usuarios que estén desesperados por recuperar sus ficheros.

Mientras más pares de ficheros se logre encontrar, mayor será la cantidad de datos recuperados.

En la descripción de Virus.Win32.Gpcode.ak se ha publicado información detallada sobre cómo usar este método.