возможно еще чем то успели шифрануть после VAULT.

Есть возможность проанализировать файлы до модификации и после, для понимания в какую сторону копать ?

сколько времени прошло между первым шифрованием ВАУЛТ и тем временем, когда вы обнаружили изменение зашифрованных файлов на 2к.?
если было шифрование, то скорее всего чем то, что шифрует все подряд, раз файл *.key зашифрован.

проверьте, другие типы файлов, открываются они или нет. Те типы файлов, по которым не было изменения расширения.

т.к. модифицированными оказались только файлы с расширением Vault

Прошло где-то 6 часов, грешу на одну фирму, которой был предоставлен удаленный доступ и которые гарантировали восстановление на определенную сумму, которая понятное дело, они возможно перед выдачей результат сделали попытку невозможности восстановления файлов купленным дешифратором, чтобы только они могли это сделать в последствии, либо они прогнали какой-то антивирусной программой.
Файлы которые не были модифицированы успешно расшифровываются.

VAULT. key тоже модифицирован. причем скорее всего и начало и  точно в конец файла дописана информация.
а ведь файлы с расширением key вообще редко кто шифрует, кроме тех шифраторов, которые шифруют все подряд, за исключением определенных каталогов.

это концовка нормального vault.key
а это концовка модифицированного VAULT.KEY, плюс там побольше символов после FHASH-OK


потому вам надо проверить модифированы ли скажем файлы *.ini, *.info и т.п., т.е. те, которые точно не шифруются ВАУЛТом.

если модифицированы только файлы *.vault, vault.key в этом случае возможно была целенаправленная атака, и скорее всего еще одним шифратором.

Добрый день, сегодня произошла странная ерунда, бухгалтерский компьютер поймал VAULT при странных обстоятельствах: С утра сотрудница подозвола меня посмотреть странное письмо о том что мы все никак не заключим договор с некой фирмой ИЗОЛ, и просят еще раз ознакомится с документами, во вложениях был ZIPовский файл. Я сказал раз фирму такую не знаем, ничего не скачивать и не запускать, письмо удалить. Через часа три с поникшей головой приходит сотрудница и говорит что фалы поменяли расширение на Vault  и не запускаются! Призналась что перед тем как меня позвать файл она все же скачала, но не нашла его в скачанных по этому точно его не запускала. Я сел за комп и увидел процесс работы вируса, некоторые файлы на рабочем столе имели зловредное расширение , в процессах висело что-то вроде:"PGPEN9" комп подтормаживал, никаких сообщений еще не было выдано, я рубанул его с розетки. Странность в том что файл достаточно было только скачать без последующего запуска ( если конечно верить сотруднице)
ОС: WindowsXP.
Подскажите что лучше сделать дальше? помнится что раньше если процесс прервать был шанс что ключ не будет зашифрован вирусом, сейчас по другому?

Сергей С,
1. если письмо с этим вложением сохранилось, перешлите в почту safety@chklst.ru в архиве с паролем infected
2. полагаться на слова сотрудника, который запустил шифратор нет смысла
3. в данном случае ВАУЛТ может прописать себя в автозапуск, и если процесс шифрования не завершен, то после перезагрузки системы,
шифрование может быть продолжено. (самоликвидируется только после завершения своей программы шифрования.)
4. поскольку XP, значит теневых копий нет, даже если бы шифратор еще не успел удалить теневые копии.
----------------
отключите сетевые диски
пробуйте из безопасного режима системы создать образ автозапуска,
так же обратите внимание, чтобы в диспетчере не было посторонних процессов (их сразу закрыть)

образ автозапуска добавьте на форум для проверки.

Письмо к сожалению сотрудница послушна удалила (
базы 1С зашифровать успело, и копии которые сделал программист днём ранее тоже (
Образ автозапуска прикладываю, правда он автоматически не заархивировался.

Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.