по VAULT
1. вышлите в почту [email protected] письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту [email protected]