Исследование

Еще один метод восстановления файлов после атаки Gpcode

Мы уже писали в предыдущем сообщении про Gpcode, что нам удалось найти способ восстановления поражённых этой вредоносной программой файлов в плюс к тем файлам, которые восстанавливаются при помощи утилиты PhotoRec.

Оказалось, что если у пользователя имеется некоторое количество незашифрованных файлов и эти же файлы, зашифрованные Gpcode, то данные пары файлов (зашифрованный и соответствующий ему незашифрованный) могут помочь в восстановлении других файлов на атакованном компьютере. Именно этот подход использован в работе утилиты StopGpcode2.

Откуда возьмутся незашифрованные файлы? Незашифрованные версии файлов могут появиться в результате использования утилиты PhotoRec. Кроме того, незашифрованные файлы могут оказаться в хранилище резервного копирования или на съемном носителе (например, при сохранении фотографий с фотокамеры на жёсткий диск компьютера, который был атакован Gpcode, на карте памяти в камере могут остаться исходные файлы фотографий). Незашифрованные файлы могут также храниться где-нибудь на сетевом ресурсе, до которого не добрался вирус Gpcode (например, фильмы и видеоклипы — на общедоступном сервере).

Однако гарантировать восстановления файлов мы не можем в силу специфики необходимых для применения метода требований, которые зависят от наличия у пользователя незашифрованных копий поражённых файлов и некоторых особенностей оборудования атакованной системы. Тем не менее, учитывая, что в ходе исследования нами были получены неплохие результаты (восстановление 80% зашифрованных файлов), мы предлагаем попробовать данный метод восстановления файлов отчаявшимся пользователям.

Чем больше пар файлов удастся найти, тем больше данных удастся восстановить.

Детальная информация о применении утилиты опубликована в описании вредоносной программы Virus.Win32.Gpcode.ak.

Еще один метод восстановления файлов после атаки Gpcode

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике