образ переделайте еще раз, у вас он нулевого размера 0байт в архиве
PC_2016-07-26_00-26-41.zip (186 Б)
должен быть в архиве примерно 1-2Мб, без архива 10-15Мб

т.е. развитие в данном случае заключается в смене названия. Смена названия удачная.
Однако есть важное отличие и ограничение (в данном случае) в сравнении с uVS. Поэтому я использую uVS, а не aSMS/SmartFix

RP55, а в чем заключается развитие идей? в интеграции в среду восстановления?

Иван Рубцов,
по очистке системы удалите эти файлы из автозапуска

[QUOTE]%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DECRYPTION INSTRUCTIONS.JPG
%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DECRYPTION INSTRUCTIONS.TXT
%SystemDrive%\USERS\COMP2\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\[email protected]
[/QUOTE]

по расшифровке документов обращайтесь в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Алексей Выжанов написал:
т.к. модифицированными оказались только файлы с расширением Vault[/QUOTE]
VAULT. key тоже модифицирован. причем скорее всего и начало и  точно в конец файла дописана информация.
а ведь файлы с расширением key вообще редко кто шифрует, кроме тех шифраторов, которые шифруют все подряд, за исключением определенных каталогов.

это концовка нормального vault.key
[QUOTE]EXT: 0
01FNSH-OK  
02FNSH-OK  
03FNSH-OK  
04FNSH-OK  
05FNSH-OK  
FHASH-OK [/QUOTE]
а это концовка модифицированного VAULT.KEY, плюс там побольше символов после FHASH-OK

[QUOTE]EXT: 0
01FNSH-OK  
02FNSH-OK  
03FNSH-OK  
04FNSH-OK  
05FNSH-OK  
FHASH-OK   U`e1g,<%'-2a'fbl4/g/<#3e 7c 1d<`///$4l-#7'/'%#99f7;#9=,77-ae1#:=->f$"[/QUOTE]

потому вам надо проверить модифированы ли скажем файлы *.ini, *.info и т.п., т.е. те, которые точно не шифруются ВАУЛТом.

если модифицированы только файлы *.vault, vault.key в этом случае возможно была целенаправленная атака, и скорее всего еще одним шифратором.

сколько времени прошло между первым шифрованием ВАУЛТ и тем временем, когда вы обнаружили изменение зашифрованных файлов на 2к.?
если было шифрование, то скорее всего чем то, что шифрует все подряд, раз файл *.key зашифрован.

проверьте, другие типы файлов, открываются они или нет. Те типы файлов, по которым не было изменения расширения.

[QUOTE]Алексей Выжанов написал:
Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа.

Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются.
[/QUOTE]
возможно еще чем то успели шифрануть после VAULT.

[QUOTE]Алексей Выжанов написал:
Помогите удалить шифратор из системы:
Файл автозапуска прикладываю.[/QUOTE]
файл шифратора обычно самоудаляется после завершения шифрования.
просто удалите этот файл
D:\USERS\USER-02\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA

Сергей Н,
ответ в предыдущем сообщении №267.
нет расшифровки.

к сожалению так. эта модификация VAULT без расшифровки на сегодня,
(только за выкуп ключа непосредственно у мошенников, или у посредников, которые предлагают свои услуги по расшифровке, но на самом деле просто покупают ключи за ваши деньги у мошенников, возможно со скидкой)
было бы возможно расшифровать, уже был бы дешифратор, почти год уже прошел с ноября 2015 года.
-------------
добавлю, что последняя рассылка ВАУЛТ очень активна, опасна в плане сокрытия от детекта, и эффективна.