при импорте этих ключей видна дата создания данных ключей.
[IMG WIDTH=800 HEIGHT=54]http://s001.radikal.ru/i193/1607/78/1081aa937764.jpg[/IMG]

на комп они могли попасть и вчера. поэтому дата создания файлов соответствует вчерашней дате.
но созданы эти ключи в 2014 году.

файлы же зашифрованы с помощью другого алгоритма, не gpg

[QUOTE]gpg: packet(6) with unknown version 27

File: E:\decrypt\DATA\VAULT2\100\Карта предприятия.doc.vault
Time: 20.07.2016 16:27:53 (20.07.2016 9:27:53 UTC)
[/QUOTE]

Николай Щербак,
ключи secring.gpg/pubring.gpg у вас еще от старого шифратора бат-энкодера, который был активен в июне-июле 2014 года.
(0x63D1F277 от 17.07.2014г и
0xDF907172 от 30.06.2014 г)
если у вас сохранились зашифрованные файлы с расширением .unblck@gmail_com или uncrypt@gmail_com, можете прислать несколько файлов с целью проверки их расшифровки.
Если же ключи были просто ранее найдены на форумах, то тем более они бесполезны для последнего случая шифрования.
(из lnk файла)

Новая модификция VAULT, которая сейчас распространяется не использует шифрование GnuPG
--------
архив с lnk файлом удалите из вашего сообщения. форум не место для размещения вирусных тел.
----------------
там история с бат-энкодером развивалась примерно так:
в июне-июле 2014 шифрование было с расширением .unblck@gmail_com или .uncrypt@gmail_com,
по этому  варианту есть несколько мастер-ключей, поэтому возможна расшифровка файлов KEY.PRIVATE и извлечение secring.gpg, который нужен для расшифровки файлов.
затем где-то с августа начинает распространяться вариант paycrypt@gmail_com, и следом keybtc@gmail_com, примерно до октября-ноября 2014 года.
с начала 2015 года шифрование бат-энкодером (с шифрованием GNUPG) было уже с расширением VAULT до 2 ноября 2015года.
со 2 ноября 2015г и по сей день шифрование VAULT выполняется уже другим шифратором, с другим алгоритмом шифрования.

вот такая была вчера рассылка c vault:
[QUOTE]На прошлой неделе занесли на компьютер вирусный файл, и он зашифровал всю базу 1С ( Выполнять требования злоумышленников принципиально не будем. Пробуем вернуть все потерянные документы начиная с зимы.[/QUOTE]

во вложении просто файл: список того чего нет.doc.lnk

Игорь Журавлев,

судя по образу система очищена от файлов шифратора

для полной очистки системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL
del %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SETSUPDATES.COM/WHV9G3/E9U.PAC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DESIGNER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE
delref HTTP://SEARCH.QIP.RU/IE
delref HTTP://QIP.RU
delref HTTP://WWW.QIP.RU/
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.

[QUOTE]Сергей Сергеевич написал:
По программам понятно.
Т.е. никаких файлов с ключами найти не получится?
Кстати, как называется этот шифровальщик? (для возможной расшифровки в будущем, вдруг ключи в сети появятся)[/QUOTE]
Если расширение зашифрованных файлов стало *.vault, значит это и есть VAULT. но надо различать следующие варианты:
до 2 ноября 2015 года был бат-энкодер (с шифрованием GnuPG и ключами secring.gpg/pubring.gpg);
с 2 ноября 2015 года распространяется другой шифратор VAULT. по классификации ESET Filecoder.FH
этот вариант имеет решение по расшифровке, если дата создания шифратора была в интервале 2-10ноября 2015 года.
с 10ноября 2015 года распространяется модифицированный вариант, который не имеет решения по расшифровке, (кроме как за выкуп ключа.)

secring.gpg/pubring.gpg в этой версии vault не используются, здесь другой алгоритм шифрования.
по восстановлению из удаленных смотрите r-studio, getdataback, recula, testdisk и другие.

payload_c.exe:
https://www.virustotal.com/ru/file/50b31ffb7aafdc0ec0275559ec96811ca76c706d798504b6­209984ed6f34c0c6/analysis/1468913212/

+
проверьте на virustotal.com этот файл
C:\USERS\ZHVA\DESKTOP\ACC2_RVZ_ФИЛЬТРID_ПРИКАЗ_ОТЧИСЛЕНИЕ_1207­16.EXE

добавьте еще лог выполнения скрипта.
это файл лога дата_времяlog.txt, он должен быть в папке uVS после выполнения скрипта,
+ проверьте, не попали исполняемые файлы в карантин антивируса, поскольку в ZOO их нет, только текстовое описание.
ранние варианты [email protected] были с расшифровкой, возможно за это время вирусописатели модифицировали шифратор. надо проверять.

если у вас лицензированный продукт ESET, напишите в [email protected]
нужны будут:
несколько зашифрованных файлов,
чистые файлы, если есть точные копии для зашифрованных файлов,
тело шифратора.
лог ESET Log collector с компа, на котором произошло шифрование.

@reaviz Reaviz,
при выполнении скрипта система будет перезагружена,
скрипт выполнить под учетной записью с правами администратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
addsgn 1A4F759A5583CC8CF42BFB3A88230DFA508214BDAFFA1F210003B0AED3AB­79B356102BBC38559DA22E6843994616B68F75372A5455DAE9A9ED037072­0453A99F 8 filecoder.fly

zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\PAYLOAD_C.EXE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\PAYLOAD_C.EXE
del %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected]
------------

можно и в другое, в ЛК или Дрвеб, но и они оказывают помощь в расшифровке (бесплатно) только лицензионным пользователям.