здесь инструкция.
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Роман Воробьев написал:
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?[/QUOTE]
пока нет.
разве что если ключи хакеры подарят, или отдадут, или посеют свой сервер с ключами, а антивирусные компании найдут его вместе с ключами.
если нет копий, и есть важные зашифрованные файлы, сохраните на будущее их на отдельный носитель, + файл VAUT.key

[QUOTE]Сергей С написал:
[QUOTE] santy написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.[/QUOTE]Добрый день, подскажите посмотрели ли вы образ?[/QUOTE]
видимо не обратил внимание на образ.

вот скрипт очистки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
delall %SystemDrive%\TEMP\RAR$EX00.375\OBRAZEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

пошла рассылка шифратора ODCODC
пример зашифрованного файла:
[email protected]копия_договора.docx.rar.odcodc
рассылка в электронной почте:
тема письма: УВЕДОМЛЕНИЕ ОБ ИСКЕ В СУД!
от банка Русский стандарт
[QUOTE]Меня зовут Сыртланов Рустам Вилевич
Я представитель интернет банкинга Русский Стандарт Онлайн Кредит. На Ваши паспортные данные
и т.д.
[/QUOTE]архив с шифратором предлагается выкачать из сети по ссылке.
dogovor.rar
блокируем адрес:
*kollektors.tk*

[QUOTE]Alexandr Kulbachuk написал:
Alexandr Kulbachuk[/QUOTE]
если необходима помощь в очистке системы, добавьте образ автозапуска.

[QUOTE]POUL UILIAMSON написал:
всё точно так же как и в случае старого vault  только на конце xtbl  [URL=https://cloud.mail.ru/public/uVKS/KAsTq6pA8]https://cloud.mail.ru/public/uVKS/KAsTq6pA8[/URL] вот закодированные файлы nod вирус увидел ! возможно нет самого вируса ![/QUOTE]
по вашим файлам возможна расшифровка.

[QUOTE]Саша Филиппенко написал:
Добрый день!
Антивирус  ESET NOD32 Business;
Операционная система  Windows 7;
Файлы зашифрованы "*.xtbl"
Код из readme- "6BFAD2703ED9759F7D48|0"[/QUOTE]
Саша Филиппенко, по вашим файлам возможна расшифровка.

[QUOTE]Наталья Болохова написал:
Добрый день!
1. регистрационный код ROS47-7f87dnwkuv
2. версия нод32 - ESET NOD32 SMART SECURITY
3. Операционная система -  Windows 7 и Windows 8 (поймали на двух компьютерах)
4. Сама проблема: Поймали вирус - шифровальщик. Все файлы стали с расширением *.xtbl.
Сам вирус удалили, помогите пожалуйста расшифровать файлы.
Код из файла README1:
D43E42947D2345AF8650|0
Пару зашифрованных файлов прилагаю.[/QUOTE]
Наталья Болохова,
по вашим файлам расшифровка возможна.

[QUOTE]Данил Данилов написал:
5E1D928D8DC233DA739C[/QUOTE]
ваши файлы могут быть расшифрованы.

[QUOTE]Александр Мас написал:
Добрый день!, подскажите куда обратиться чтобы получить  дешифровальщик? Вирус зашифровал файлы офиса и фотографии с расширением *.breaking_bad.[/QUOTE]
ваши файлы могут быть расшифрованы