[QUOTE]Andrew Komissarov написал:
Судя по адресу [email protected] на картинке это дальнейшее развитие Trojan-Ransom.Win32.Cryakl (Trojan.Encoder.567).[/QUOTE]
но если посмотреть содержимое зашифрованного файла, например в winhex, то мы не видим конечных блоков, которые характерны для вариантов Cryakl
1.2
{ENCRYPTSTART}
{GLSYELQWDIOUAGMRYEJPWBHNTZFLRXCJOUAG-14.12.2015 14@11@408503170}{18432}{CL 1.2.0.0}{32 завод .xls}{F413C6BC68060C5A02B7C9A70B9CBC3B}
{ENCRYPTENDED}
1.1
{GMHHVGBCABPQDWFGGHQRDXSMFGWWJJFFRLCC-14.08.2015 14@26@595790416}{2739210}{CL 1.1.0.0}{Страница 5 буклета.docx}{1BFAC46297582DD0CBDE4B2DFE04A7BC}
1.0
{ENCRYPTSTART}
{JQWBHLQVAFKPUZEINRWBGLQUZEJOSXBGLQVA-14.07.2015 0@11@145100333}{19968}{CL 1.0.0.0}{график.xls}{FCB99541099F2E5EA56CF56AEC5134EB}
{ENCRYPTENDED}
0.0.1.0
{ENCRYPTSTART}{SAXQDBGRIZXBFKHFQUFJOLDHMQOFWULCTXIT-29.06.2015 8@42@247880196}{27136}{CL 0.0.1.0}{смены.doc}{026214F2BE27706396C7114B229AA9DA}
поэтому развитие .Cryakl здесь не просматривается.

судя по наименованию зашифрованного файла это близко к encoder.741
вот варианты, которые были ранее:
[email protected]
[email protected]
есть и другие, аналогочные
(это было в 2015)

судя по образу система уже очищена. возможно это файл поучаствовал в шифровании
C:\USERS\BUH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
посмотрите, нет ли его среди удаленных файлов.

с расшифровкой помогаем если есть такая возможность, но в основном расшифровкой занимаются в техподдержке, поскольку они непосредственно контактируют с вирлабом.

хорошо,
выполните наши рекомендации по безопасной работе в сети
http://forum.esetnod32.ru/forum9/topic12354/

Елена,
проверьте еще эти файлы на вирустотал http://virustotal.com
C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
C:\WINDOWS\SYSTEM32\WSAUDIO.DLL

и добавьте здесь ссылки на линк проверки
чтобы убедиться, чистые они или нет.

1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS
delall %Sys32%\TSSK.SYS
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\PLUGINSSETUPBAK\QMSYSTEMSETUP_­10.10.16434.218_112217724.EXE
hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLELAUNCHHELP.EXE
hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLEW.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\HOME\DOWNLOADS\LAME_V3.99.3_FOR_WINDOWS.EXE
chklst
delvir

deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DEALPLY\UPDATE~1

delref FILES\DEALPLY\DEALPLYUPDATE.EXE

delref %SystemDrive%\PROGRA~2\WINCERT\WIN32C~1.DLL

deldirex %SystemDrive%\PROGRA~1\SEARCH~1\DATAMNGR

delref {F34C9277-6577-4DFF-B2D7-7D58092F272F}\[CLSID]

delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID]

delref {C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE

deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPL­AYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCAL\SWVUPDATER

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\DEALPLY

regt 27
regt 28
regt 29
; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe
; Get-Styles for Chrome
exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe
; Get-Styles for IE
exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe
; Get-Styles для ВКонтакте
exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe
; Search-Results Toolbar
exec C:\PROGRA~1\SEARCH~1\Datamngr\SRTOOL~1\uninstall.exe
exec C:\Users\Home\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall
; Version Checker for Funmoods
exec C:\Users\Home\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe /Uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

R N,
по файлам не могу сказать, когда была зашифровка, единственно что можно определить,
зашифровано после 2 ноября 2014г, поскольку зашифрованный файл не является пакетом OpenPGP

gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifratory\исследовать\26\vault\Договор директор  сериала.doc.vault
Time: 04.01.2016 12:04:50 (04.01.2016 6:04:50 UTC)
-------------
уточните все таки у пострадавшего юзера, когда было шифрование. Если до 10ноября, то имеет смысл восстановить систему из образа, чтобы попытаться вытащить ключ для расшифровки.

R N,
добавьте несколько зашифрованных файлов в архиве.

[QUOTE]R N написал:
santy  ,Система на которой был vault не доступна для загрузки, доступен только винт с файлами.[/QUOTE]
без ключа невозможна расшифровка этих файлов. а ключ извлекается утилитой из реестра и хранилища ключей RSA в системе, к которой было шифрование.

а что случилось с системой? переустановили?

в любом случае, утилитку надо запускать в системе, на которой было выполнено шифрование.
чтобы была возможность восстановить ключ.
+
[QUOTE]Если указать например параметр /k vault.key то в логе пишется следующее:[/QUOTE]
в данном случае, vault.key не является ключом для данной утилиты.
ключом является файл exported.key которой утилитка должна извлечь из зашифрованной системы.
(если это возможно. если невозможно по ряду причин, тогда расшифровка данной утилитой невозможна)