короче говоря, не удалось ничего сделать с восстановленными файлами system volume information.
может кому пригодится [URL=http://www.outsidethebox.ms/13764/#_Toc328869241]такой метод[/URL].

так ведь изымут компутер докучи. есть практика поимки негодяев?

santy, может я что-то не понял, но вроде функционал и принцип тот же.

сама папка system volume information была и есть. в ней были точки (файлы без расширения). в 8:30 произошло заражение и затирание этих точек. т.е. папка стала занимать 0Б. затем в 10:30 система сделала новую точку как будто система восстановления win 7 была только что включена.
теме временем удаленные точки фактически оставались на диске как и почти при любом простом удалении (помечены на удаление, да).
вот их удалось вытащить на другой диск. тоже самое предлагает r-undelete. там файлы типа {19f1745a-8bfd-11e4-812f-08606e763134}{3808876b-c176-4e48-b7ae-04046e6cc752} и другие.
если получить права на эту папку и сложить восстановленные файлы туда система их не видит. видит только новую созданную точку.
всё это имхо конечно.

RP55 RP55, наверно метод похож. файлы в каталоге вижу. а вот как устроены эти файлы точек восстановления и как их разобрать хз. наподобие точек в xp, откуда можно было дернуть файлы веток реестра.

Иван Иванович, как восстановили secring.gpg?

кстати если юзать поиск по vault в контексте вылезает контора, которая якобы пишет дешифраторы. так вот они запросили 22кр. притом пример дешифровки не высылают)

santy,скорее всего vault постарался. r-studio увидел и восстановил данные на 15ГБ.

кстати, шифровальщик не тронул файлы, которые были открыты на момент запуска заразы. видимо не умеет закрывать приложения ещё, и не получает доступ.

удалось восстановить директорию system volume information (около 15ГБ), однако не получается работать с этими данными.
закинул файлы в директорию, но винда не видит точки. так же не видят SystemRestoreExplorer и ShadowExplorer. Наверно метаданные уже не содержат инфы о старых точках.
Как достать файлы, кто что может посоветовать?

интересно получается, чел просто взял другой secring.gpg под видом своего?.. а каждый раз ключ разный?
я этот файл (нулевой) нашел в папке пользователя в AppData\Roaming\gnupg\

Александер Мишагула, по какому пути он у вас лежит?

Кстати, в нашем случае были затерты точки восстановления, печаль.

Валентин, спс.

santy, я правильно понимаю, что без secring.gpg не расшифровать? или в любом случае не расшифровать как мне сказали в ТП?

[QUOTE]santy написал:
а файл шифратора по ссылке добавлен в письмо или как вложение?
перешлите файл шифратора в почту  [URL=mailto:[email protected]][email protected][/URL]
архив только добавьте с паролем infected[/QUOTE]
именно вложение файлом. конкретно "акт сверки (март).zip". в нем указанный выше js.
отправил архив.

[B]текст письма:[/B]
[I]Здравствуйте,[/I]
[I]Просьба внимательно прочесть и завизировать Акт сверки взаиморасчетов - во вложении.[/I]
[I]Мы посчитали сальдо по состоянию на 31 марта. [/I]
[I]По нашим данным у Вас небольшая дебиторка еще с прошлого года.[/I]
[I]В связи с кризисом каждый рубль на счету, так что просим прислать скан подписанного экземпляра как можно быстрее.[/I]

[I]--[/I]
[I]С Уважением,[/I]
[I]ООО "РТИ-116"[/I]

[B]от[/B] ООО РТИ-116 <[URL=mailto:[email protected]][email protected][/URL]> ООО "РТИ-116"
[B]вложение[/B]: в zip файле
акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией - аttасhmеnt_Dr.Wеb_Sсаnnеd -- OK.dосx .js

[B]реально в теле письма:[/B]
[I]Received: from tbjjbihbhdci.turbo-smtp.net ([199.187.173.28][/I]
[I]Received: from unknown (HELO h88-150-252-45.host.redstation.co.uk) ([/I][URL=mailto:[email protected]][I][email protected][/I][/URL][I]) by turbo-smtp.com[/I]