GPCode verschlüsselt die betroffenen Dateien mit einem 1024 Bit starken RSA-Schlüssel. Selbst unter Einsatz von Millionen herkömmlicher PCs könnte das Errechnen des passenden Schlüssels Monate oder gar Jahre in Anspruch nehmen. Doch es gibt offenbar einen Weg, der ohne Entschlüsselung auskommt:
GPCode nimmt sich die Dateien des Benutzers vor, verschlüsselt sie und speichert die verschlüsselten Dateien unter Verwendung der Erweiterung ._CRYPT. Danach löscht der Trojaner die Originale.
An dieser Stelle setzt Kaspersky an: Gelöschte Dateien sind bekanntlich nicht wirklich von der Festplatte verschwunden, sondern zunächst nur nicht mehr sichtbar, bis die Bereiche, in denen sie sich befunden haben, neu beschrieben wurden. Die Software PhotoRec, die unter der GPL-Lizenz kostenlos zur Verfügung steht, kann genutzt werden, um solche gelöschten Dateien wiederherzustellen. Auf seiner Website zeigt Kaspersky detailliert, wie diese Software zu verwenden ist. Wichtig: Geschädigte sollten keine Zeit verlieren, sich um die Wiederherstellung zu bemühen, denn je länger das System seit der Infektion benutzt wurde, desto größer ist die Wahrscheinlichkeit, das Teile der betroffenen Dateien bereits mit neuen Daten überschrieben wurden.
