Для последней версии дешифратора не было.
Надо чтобы аналитики на новую посмотрели, может авторы там где-то напортачили.
Но боюсь это только после праздников.

Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).

santy
К сожалению, форумы люди начинают читать, когда уже поймали шифровальщика.
А до этого не думая открывают все подряд...

Блокировать адреса (типа *celiklerkuruyemis.com*) бессмысленно.
Они для одноразового применения.
Последнее время часто рассылают письма с mail.ru-шных одноразовых адресов через их же сервера, поскольку они обычно в белых списках почтовых серверов.
Нельзя же из-за этого блокировать mail.ru-шные сервера.

Евгений Соков
Файл vault.hta должен быть на рабочем столе и в пользовательских папках. Только его все антивирусы знают и норовят удалить.
Посмотрите в карантине антивируса, если он там вообще был.

Недавно сталкивался с vault-ом у клиента.
Начальная цена за расшифровку берется видимо исходя из количества зашифрованных файлов (эта информация есть в vault.key).
За 16 тысяч файлов, примерно, просили 180 долларов.
Но как они пишут - "цена не окончательная"  

Попробуйте его заархивировать. zip-ом, например.

Вчера позвонил один старый клиент. Поймали vault.
Причем он ясно видел, что расширение файла .js но у него даже сомнения не возникло, что его можно открывать.
Уже после, он почитал форумы и набрался информации.

Странно вот что. Зашифровались практически только вордовские и экселевские файлы.
Ни базы 1c, ни картинки, ни pdf, ни архивы не тронуты.
Причем вирус похоже отработал до конца, поскольку MSE начал ругаться на vault.hta
И шифрование никак не прерывали, поскольку просто не понимали, что происходит.
Насколько я помню, раньше шифровалось все.

Это новая тенденция такая у vault-а или им просто почему-то повезло?

P.S. Теневые копии разумеется удалились. Но у них был двухнедельной давности бэкап на внешнем диске. Так что все закончилось не очень плохо.

Что в нем продуманного? Все просто очевидно.
Вы много видели бухгалтеров, которые сначала грузят файлы на какой-нибудь файлообменник (к примеру) а потом отправляют ссылку на него.
Вы вообще много видели бухгалтеров, которые умеют это делать?
А посмотреть куда ведет ссылка сложно? Она обычно на совершенно левый сайт ведет. Это никак не настораживает?

Да сам формат якобы бухгалтерсого письма с документом по сылке уже говорит, что это в лучшем случае спам, а в худшем вирус.

Я имел в виду вот такие два правила. Думаю по скрину понятно:

Надо разработчиков подергать, тут вам флаг в руки.
Но вы видимо имеете в виду защиту рабочих файлов.
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.

Стойкие алгоритмы шифрования для того и придумывают, чтобы их нельзя было расшифровать за приемлемое время.
Если у вас случайно есть доступ к суперкомпьютеру, то возможно лет через -дцать он сможет подобрать ключ к вашим файлам.
Но тогда эти файлы уже никому не будут нужны.
К счастью, авторы шифровальщиков иногда допускают ошибки, тогда и возможно создание дешифровщика.
Но поскольку они зарабатывают на этом деньги, то ошибки обычно оперативно устраняют.
Так что по некоторым шифровальщикам дешифровки не будет никогда.