Благодарю за помощь, я примерно так и сделал, но сразу шире. В идеале надо запретить запуск отовсюду, куда у пользователя есть права доступа, да хоть уже сразу %userprofile%. Письмо скачали через веб-интерфейс, поэтому в таком раскладе сохранить его могут куда угодно. Будем работать.

даже если архив скачивается из сети, то все равно при запуске исполняемого из архива, архиватор распакует файл в %temp% юзера.
другое дело, что некоторые легальные инсталляторы (firefox, thunderbird, например,) так же распаковывают свои пакеты в %temp% юзера,
поэтому в данном случае правило временно придется отключить.
конечно, настойчивые пользователи попытаются распаковать архив на рабочий стол, и с него запустить "офисный документ".
или переслать сообщение коллеге, чтобы посмотрел документ.
+
посмотрите программу Cryptoprevent, они используют расширенный список правил для блокирования запуска троянов и шифраторов.
текущая бесплатная 7.4.21
http://chklst.ru/discussion/1483/cryptoprevent#latest

Здравствуйте.
Вчера бухгалтер нарвался на Vault,  прошу помочь с очисткой

Дмитрий Леонтьев,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по ВАУЛТ нет.
если зашифрованы важные файлы, сохраните, возможно в будущем будут в доступе приватные ключи для расшифровки.
это уже будет зависеть от самих разработчиков шифровируса.
от их доброй или злой воли.

Спасибо за оперативную помощь. vault.hta не был удален, или он не представляет угрозы?  

что-то я не увидел его в автозапуске. угрозу он не представляет. достаточно просто его удалить и папки автозапуска, если он там есть.

Да, в автозапуск он не попал. Удалил его.  

да, и в случае создания копий зашифрованных файлов, сохраните файл VAUT.KEY где содержится в зашифрованном виде ваш сессионный ключ. который необходим для расшифровки файлов.

Добрый день.
Вчера пришло письмо с архивом, в котором был *.lnk файл. после его запуска через некоторое время файлы документов и БД 1С зашифровались и стали с расширением *.vault.

После сканирования диска нашлись файлики secring.gpg и др. , но расшифровать с помощью gpg4win или gpgshell не удалось.

В аттаче файл источник заразы и файлы ключи, а так же зашифрованные файлы

Николай Щербак,
ключи secring.gpg/pubring.gpg у вас еще от старого шифратора бат-энкодера, который был активен в июне-июле 2014 года.
(0x63D1F277 от 17.07.2014г и
0xDF907172 от 30.06.2014 г)
если у вас сохранились зашифрованные файлы с расширением .unblck@gmail_com или uncrypt@gmail_com, можете прислать несколько файлов с целью проверки их расшифровки.
Если же ключи были просто ранее найдены на форумах, то тем более они бесполезны для последнего случая шифрования.
(из lnk файла)

Новая модификция VAULT, которая сейчас распространяется не использует шифрование GnuPG
--------
архив с lnk файлом удалите из вашего сообщения. форум не место для размещения вирусных тел.
----------------
там история с бат-энкодером развивалась примерно так:
в июне-июле 2014 шифрование было с расширением .unblck@gmail_com или .uncrypt@gmail_com,
по этому  варианту есть несколько мастер-ключей, поэтому возможна расшифровка файлов KEY.PRIVATE и извлечение secring.gpg, который нужен для расшифровки файлов.
затем где-то с августа начинает распространяться вариант paycrypt@gmail_com, и следом keybtc@gmail_com, примерно до октября-ноября 2014 года.
с начала 2015 года шифрование бат-энкодером (с шифрованием GNUPG) было уже с расширением VAULT до 2 ноября 2015года.
со 2 ноября 2015г и по сей день шифрование VAULT выполняется уже другим шифратором, с другим алгоритмом шифрования.