現時点では、Gpcodeによって暗号化されたファイルを復号化することはできません。しかし、Gpcodeが暗号化バージョンのファイルを作成して元のファイルを削除してしまった後でも、PhotoRec を使用すれば、元のファイルを復元することができます。
1. 感染していないコンピュータを使用して、PhotoRecが付属しているTestDiskをダウンロードします
2. 外付けデバイスにPhotoRecを保存し、そのデバイスを感染コンピュータに接続します。Gpcode.akは単独では拡散できず、起動後に自分自身を削除してしまうので、コンピュータに接続しても問題ありません
3. PhotoRecを実行します。PhotoRecの実行ファイルはphotorec_win.exeであり、TestDiskパッケージの [win] ディレクトリ内にあります:
4. ファイル検索を行うドライブを選択し、 [ENTER] キーを押して続行します:
システムにハードディスクが複数ある場合は、1つ1つに対してこの手順を行います。つまり、1つのハードディスクでファイルを復元したら、次のディスクでも同じ手順を繰り返してファイルを復元してください
5. パーティションテーブルの種類を選択し(通常は「Intel」)、 [ENTER] キーを押して続行します:
6. このステップでは、「Expert Mode」を選択し、ファイルの復元に使用するパーティションを選択します。
複数のパーティションがある場合は、それぞれのパーティションについて、このステップを繰り返す必要があります
7. ファイルシステムのタイプを選択し(Windowsユーザの場合は [Other] )、 [ENTER] キーを押して続行します:
8. 削除されたファイルを検索する場所を選択し、 [ENTER] キーを押して続行します。ディスク全体を検索する場合は [Whole] を選択してください:
9. ファイルの復元先を確認されるので、PhotoRecのファイルブラウザを使用してルートディレクトリに戻ります( [..]を選択して [ENTER] キーを押す)
ルートディレクトリに、システム内のディスクが表示されます。該当するリムーバブルディスク(またはネットワークドライブ)と、復元したファイルの保存先フォルダを選択します。必ず外付けディスクを選択してください。感染したコンピュータを選択すると、ファイルが破損する可能性があります
ファイルを復元する前に、復元先ディスクに別名のディレクトリ(「recovered」など)を作成しておいてください。復元プロセスでエラーが発生するのを防ぐため、復元ファイルがこのディレクトリに保存されるように指定する必要があります。このディレクトリを選択したら、 [Y] キーを押します
PhotoRecのウィンドウに戻り、確認したパラメータを選択します。 [Y] キーを押すと、ファイル復元プロセスが開始されます。プロセスの完了には時間がかかる可能性があるのでご注意ください
プロセスが完了するのを待ちます
10. 復元されたファイルが、指定の外付けディスクに復元されます。復元されたファイルを含むディレクトリを開くと、ハードディスクにある元のファイルとは名前が違っているのがわかります
復元されたファイルには、次のような名前が付いています:
これはPhotoRecの動作によるものであり、問題はありません。また、ファイル内容は復元できますが、元の場所に復元することはできません
ユーティリティによってディスク全体が処理され、暗号化されたファイルと復元されたファイルのサイズが比較されます。このファイルサイズは、元の場所と復元されたファイルの名前を判断するために使用されます。
19 
2009.04.03 17:24
