Виктор,
дешифратор для Ваулта есть только если файл шифратора был создан в интервале от 2 до 10ноября. по поздним версиям ВАУЛТа нет дешифровки.
удалять там практически нечего из автозапуска.
надо удалить файл VAULT.hta

Доброго времени суток.

Произошла следующая проблема(уже не первый случай). Подруга друга, бухгалтер маленькой компании(5 человек), в которой нет админа, Получила письмо "счастья" с "Счет фактурой", открыла и вооля. Звонит мне, говорит 1С не открывается, смотрю фаилы на раб столе на конце появилось не правильное расширение. В диспетчере вижу до сих пор "программа" из темпа шифрует данные. Я по удаленке Моментально отключил системник. Сейчас жду HDD когда привизут.

Подскажите такой момент, если есть в наличии сам фаил который запустил шифровальщик, и фаил который шифровал, реально ли из него достать пароль к шифратору?

все зависит от типа шифратора. а с каким расширением зашифрованы файлы?

Прям сейчас ответить не могу, т.к. полную картину пока не вижу, еще жду HDD, но картина примерно как темой ниже http://forum.esetnod32.ru/forum35/topic12855/ (Извиняюсь!, не та ссылка) Тоже vault  Сама програмулина в темпе расширение exe которая шифрует фаилы. А что в письме пока не известно.

в принципе, да, возможно если много файлов, то какое то время exe остается в темпе.
по ВАУЛТ скорее всего это не поможет: наличие чистого и зашифрованного файла. как это не помогало в предыдущих вариантах данного энкодера.
если свежий ВАУЛТ, то расшифровки по нему нет.
--------
шанс есть, если шифратор не успел удалить теневые копии, (и если такие были на момент запуска)

santy,мне переслали письмо с "Счет фактурой" Могу сейчас письмо переслать, если скажите куда?
Комп кстати выключали стандартным методом "ПУСК- Выключить ПК". Так что возможно из темпа при выключении он удалился... будем надеяться что нет.
По теневым копиям сомневаюсь что они включены... Посмотрим когда приедет.

перешлите в архиве с паролем infected в почту [email protected]
проверим детект.

Письмо отправил. Долго ждать Вашего решения "Возможно \ Не возможно" ?  Если будут по нему вопросы задавайте, ЖД пока у меня.

ок,
результат проверки js
https://www.virustotal.com/ru/file/48ade7ca7ea91cf9a73740044e0a30299d953f976f4d0846­4cb7ac9b4af68c68/analysis/1452598213/
отправлю в вирлаб
по расшифровке: расшифровки по ВАУЛТУ нет после 10 ноября.

Теперь вопрос, сейчас зараженный жески диск стоит вторым жестким диском у меня в системнике,  рядом стоит его тело (системный блок, без жеского диска). Как мне сейчас поступить? Что бы винда загрузилась при возврате HDD в своё тело, и не шло дальше шифрование.