Vi chiedono un riscatto per i vostri dati? Non spegnete il computer
L'articolo è stato aggiornato dopo la pubblicazione iniziale.
La settimana scorsa ho parlato del nuovo ransomware Gpcode, un virus che cifra i dati e poi chiede un pagamento non tracciabile per ottenere la chiave di decifrazione.
Edgar, da Bangkok, mi segnala (in italiano) una soluzione trovata da Kaspersky: non è ancora possibile decrittare i dati cifrati dal virus, ma si può sfruttare una caratteristica del suo modo di agire per recuperare i dati sotto riscatto.
Infatti, nota Kaspersky in inglese, quando Gpcode lucchetta un file, ne crea una nuova copia cifrata e poi cancella il file originale. Basta quindi utilizzare un programma di recupero dei file cancellati, come PhotoRec, suggerito da Kaspersky ma prodotto da un programmatore indipendente a costi bassissimi (è donationware, scaricabile gratis con richiesta di donazione), e si elude l'azione del virus. Per ripristinare correttamente i nomi dei file cancellati e recuperati si può usare l'apposita utility gratuita di Kaspersky. Attenzione: con questa tecnica il virus non viene estirpato, ma vengono soltanto recuperati i dati.
Affinché questa tecnica funzioni, è essenziale che il computer non venga spento e che non vengano scritti nuovi dati: se vi trovate infettati da Gpcode, non toccate niente e chiamate subito aiuto esperto.
Nessun commento:
Posta un commento