santy,

Скрытый текст
https://dropmefiles.com/CqweS

R N,
по файлам не могу сказать, когда была зашифровка, единственно что можно определить,
зашифровано после 2 ноября 2014г, поскольку зашифрованный файл не является пакетом OpenPGP

gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifratory\исследовать\26\vault\Договор директор  сериала.doc.vault
Time: 04.01.2016 12:04:50 (04.01.2016 6:04:50 UTC)
-------------
уточните все таки у пострадавшего юзера, когда было шифрование. Если до 10ноября, то имеет смысл восстановить систему из образа, чтобы попытаться вытащить ключ для расшифровки.

Секретарю пришло письмо с вирусом-шифровальщиком. Хорошо что домен и права у юзеров "порезаны", да и предупреждены они по-поводу подобной дряни.

Далее письмо зловреда с вложенным архивом в который запакован ява скрипт:

From: Герман Учамприн [mailto:[email protected]]
Sent: Monday, January 11, 2016 5:33 AM
To:
Subject: Акт сверки

Проводим сверку взаиморасчетов со всеми актуальными контрагентами.
Прошу просмотреть акт - во вложении.
Если у Вас будут комментарии, пишите мне.
По нашим данным у Вас небольшая задолженность еще с октября.  

Роман,
1. файл удалите с форума, и оправьте в вирлаб: [email protected] в архиве с паролем infected
(пока никем не детектируется)
https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d­ce686919ac4105c0/analysis/1452502469/

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?

1. Файл с форума удалил. Сейчас отправлю в вирлаб.
2. Запуска шифратора не было) поэтому зашифрованные файлы отсутствуют.

это свежий вариант vault, по крайней мере с таким расширением шифруются документы.

Будет добавлено как
JS/TrojanDownloader.Agent.OEQ trojan

Здравствуйте!

Похожая ситуация.
Только файл из вложения был запущен. Зашифрованными оказались файлы документов на компьютере, где запустили вирус, и на сетевых папках файлсервера подключённых к нему.
Файлы шифрует с именами вида:
[email protected] 1.2.0.0.id-PQRRSTTUVWWWXYYZAAABCDDEFFFGHHIJJJKL-11.01.2016 9@[email protected]
Есть файл источник заразы.
Его, зашифрованные файлы и образ автозапуска компьютера на котором запустили заразу выслал на  [email protected]  

Добрый день.

"Поймал" данный вирус.[TABLE][TR][TD]CAT-QuickHeal [/TD][TD] HTML.RansomPage.A [/TD][TD] 20160111 [/TD][/TR][TR][TD] ESET-NOD32 [/TD][TD] Win32/Filecoder.FH [/TD][TD] 20160111 [/TD][/TR][/TABLE]Подскажите, есть ли возможность расшифровки?

Boris Popov,
по Filecoder.FH/VAULT расшифровка возможна в том случае, если шифрование было со 2 до 10ноября (2015г).
для более поздних версий данного шифратора расшифровки нет.

Помогите удалить. =(
Может есть расшифровщик файлов для этой версии?