Зашифрованные Gpcode.ak файлы в настоящее время расшифровать невозможно. Тем не менее, используя утилитуPhotoRec, можно восстановить исходные файлы, которые были удалены вредоносной программой после создания их зашифрованных копий.
Утилита может восстановить документы Microsoft Office, исполняемые файлы, PDF и TXT документы, а также различные файловые архивы и файлы других форматов.
Утилита PhotoRec поставляется в составе последней версии пакета TestDisk.
Возможно, многие пользователи справятся с задачей и без дополнительного инструктажа, но мы считаем нужным показать ход работы по восстановления удаленных файлов в максимально развернутом виде.
Ниже приведена пошаговая инструкция по восстановлению файлов ручным способом с использованием утилиты PhotoRec.
- С помощью отдельного (не зараженного) компьютера скачиваем пакет TestDisk с утилитой PhotoRec, разархивируем и сохраняем на внешний носитель, например, на флеш-диск.
- Подключаем внешний носитель с утилитой PhotoRec к зараженному компьютеру (это безопасно, посколькуGpcode.ak сам не распространяется и после запуска самоудалился).
- Запускаем утилиту PhotoRec (файл photorec_win.exe в директории win сохраненного пакета):
- Выбираем нужное устройство диска, с которым будет работать утилита, и нажимаем клавишу ENTER для продолжения:
 Если на Вашем диске используется несколько разделов, то этот шаг придется повторить для каждого раздела.
- Далее выбираем формат таблицы разделов и нажимаем клавишу ENTER для продолжения. Скорее всего, всем подойдет формат Intel:
- Выбираем нужный раздел диска, с которым будет работать утилита, и нажимаем клавишу ENTER для продолжения:
Если на Вашем диске используется несколько разделов, то этот шаг придется повторить для каждого раздела.
- На этом шаге выбираем тип файловой системы и нажимаем клавишу ENTER для продолжения. Всем пользователямWindows подойдет тип Other:
- Далее выбираем, где искать удаленные файлы, и нажимаем клавишу ENTER для продолжения. Здесь следует выбрать опцию Whole для поиска удаленных файлов по всему дисковому пространству:
- Затем PhotoRec предлагает указать каталог для сохранения восстановленных файлов. Используя встроенный в утилиту файловый браузер, необходимо перейти в корневую директорию (переход осуществляется при помощи выбора каталога “..” и нажатия клавиши ENTER).
В корневой директории Вы увидите имеющиеся в системе диски. Нужно выбрать съемный носитель (или сетевой) и на нем папку, в которой будут сохраняться файлы. Очень важно, чтобы носитель был внешним, иначе удаленные файлы на диске могут повредиться.
Пожалуйста, чтобы избежать ошибки на последующих этапах, перед восстановлением создайте отдельную директорию (например, recovered) на диске внешнего носителя и выберите ее для сохранения восстановленных файлов. После выбора каталога для продолжения нажмите клавишу Y.
После нажатия клавиши Y, Вы увидите, как идет процесс восстановления файлов:
Дождитесь завершения сканирования и переходите к следующему шагу.
- Теперь, когда у вас есть восстановленные файлы на съемном носителе, половина дела сделана. Однако, открыв каталог, в котором находятся восстановленные файлы, Вы увидите там файлы, имена которых не соответствуют именам файлов на вашем жестком диске.
Выглядит это примерно так:
К сожалению, это ограничение накладывается методом, используемым в утилите PhotoRec. Утилита восстанавливает содержимое файлов, но ничего не знает о том, где находились эти файлы в файловой системе. Естественно, увидев тысячи восстановленных файлов с непонятными именами, всякий пользователь придет в замешательство.
Чтобы упростить поиск ценных для Вас файлов, мы подготовили бесплатную утилиту StopGpcode, которую можно использовать вместе с PhotoRec. Эта утилита рассортировывает и переименовывает восстановленные файлы.
Чтобы рассортировывать и переименовать восстановленные файлы, необходимо на не зараженном компьютере скопировать утилиту StopGpcode на флеш-диск, подключить его к зараженному компьютеру и запустить утилиту в командной строке с определенными параметрами.
В качестве параметров нужно указать:
- путь к разделу с зашифрованными файлами, например С:\
- путь, где хранятся восстановленные файлы, например W:\gpc\recovered
- путь, куда сохранить файлы с восстановленными именами и путями, например W:\gpc\renamed
Утилита "пробежит" по всему жесткому диску и сопоставит размеры восстановленных и зашифрованных файлов. На основе соответствия размеров программа попытается угадать, где находился восстановленный файл, и как он назывался.
Восстановленные файлы с угаданными именами утилита сохранит в поддиректории sorted, копируя оригинальную структуру каталогов, чтобы было проще найти файл по полному пути. Те файлы, имен которых восстановить не удастся, утилита сохранит в поддиректории conflicted. |
