Dopo aver lanciato l’allarme, due settimane fa, circa la diffusione di una nuova variante di un “ransomware” già conosciuto, Kaspersky offre alcuni consigli a tutti coloro che sono caduti nelle maglie degli estorsori.
Come spiegato in questi articoli, i “ransomware” sono malware che, una volta insediatisi sul sistema dell’utente, provvedono a crittografare file e documenti personali rendendone impossibile la consultazione senza conoscere la chiave per decifrarli. I file dell’utente vengono insomma tenuti “in ostaggio” chiedendo una somma di denaro variabile (in questo caso tra 100 e 200 dollari) per il riscatto.
Kaspersky, confermando che Gpcode.ak – questo il nome del “ransomware” – provvede a cifrare, al momento, 143 differenti tipologie di file cancellando le versioni originali dal disco fisso, suggerisce agli utenti vittime del malware di tentare a recuperare i propri documenti ricorrendo ad apposite utilità di ripristino dei dati.
La società moscovita, nell’analisi pubblicata sul suo sito web, presenta l’uso dell’utility PhotoRec che noi stessi abbiamo presentato in questo articolo.
Il primo consiglio è quello di tentare il ripristino dei dati eliminati da Gpcode prima possibile: in questo modo saranno più elevate le probabilità di recuperarlo (si eviterà che vengano sovrascritti durante il normale utilizzo del personal computer).
Dopo aver scaricato ed avviato PhotoRec, si dovrà seguire la procedura illustrata nel nostro articolo selezionando la tipologia della partizione contenente i dati da recuperare (tipicamente, “Intel”) quindi attivando “Expert mode” (menù Options, Expert mode, Yes). I passi seguenti prevedono la scelta della partizione da esaminare ed il file system con la quale è stata formattata (“Other: FAT/NTFS,…“). Optando per “Whole” si richiederà quindi l’analisi dell’intera partizione.
In ultimo, PhotoRec richiederà di specificare una cartella all’interno della quale debbono essere memorizzati tutti i file recuperati (è bene indicare una cartella sita in un altro disco fisso o su unità rimovibile).
Al termine dell’operazione, Kaspersky consiglia di servirsi dell’utility StopGpcode, appositamente sviluppata. Il programma si occupa di ripristinare i nomi dei file originali e l’organizzazione delle cartelle.
Ad oggi tentare di recuperare i file eliminati da Gpcode è l’unico approccio possibile: la chiave RSA a 1024 bit, utilizzata dal “ransomware”, non è stata infatti violata.