Илья,
бэкапов и политик + include the brain достаточно для того, чтобы не бегать по сервисам расшифровки документов, а спокойно работать.
а по понедельникам как правило никто не детектирует шифраторы из рассылок,
поэтому мы не можем избавить вас от подобных рассылок,
надо постоянно информировать своих сотрудников о рисках и не_киндер_сюрпризах, которые приходят с почтой.
это означает include the brain.
это работа для админов по безопасной работе в сети.

а то что не детектируется, сразу отправлять в [email protected] в архиве с паролем infected.

Роман,
потому что так и есть.
в HIPS сейчас есть возможность защитить папку с документами:
например: C:\DATA\*.* && все документы в этой папке защищены от удаления и изменения,
при этом надо создать второе правило, которое бы разрешило доверенным программам работать с данной папкой.

по маске, типа *.docx правила в HIPS не работает

по относительным путям через системные переменные, типа %TEMP%\*.bat тоже правила не работают.
--------------
возможно в будущем разработчики сделают такую возможность,
хотя это надо было сделать еще "вчера".

Сира,
вышлите в почту [email protected] найденный ключ secring.gpg а так же несколько зашифрованных документов
для проверки возможности расшифровки.

вот реакция в песочнице Комодо на запуск исполняемого файла из js
http://camas.comodo.com/cgi-bin/submit?file=335dd30743ae9579c436adcc10e7aff6e1acebd5e139924eb73f503­8c7974c1d

[QUOTE]• Values Created
Name Type Size Value
CU\Software\Microsoft\ REG_BINARY 19792 ?
CU\Software\Microsoft\Windows\ REG_BINARY 4623 ?

• Directories Created
Name Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14

• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20
C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4
C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2

• Processes Created
PId Process Name Image Name
0x4b4 explorer.exe C:\WINDOWS\explorer.exe

• Files Deleted
Name Size Last Write Time Creation Time Last Access Time Attr
C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20[/QUOTE]

NickM,
мы не работаем в техподдержке ВАУЛТа, чтобы разбирать детально ошибки этого шифратора, :)
просто выдаем рекомендации пользователям ЕСЕТ на основе опытов и наблюдений.

Alex_Serena Alex_Serena,
напоминаем, что вирусы, архивы с вирусами с паролем infected надо отправлять в [email protected]
(сюда можно еще [email protected])
на форуме не надо постить вирусные тела.
---------
похоже на свежий ВАУЛТ.2

как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.

[QUOTE]Alex_Serena Alex_Serena написал:
Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?[/QUOTE]
потому что проблема с расшифровкой документов не решается с помощью переустановки системы.
это должно быть очевидно.

Павел,
по восстановлению документов проверьте наличие теневых копий,
по расшифровке документов напишите в техподдержку [email protected] при наличие лицензии на антивирус ЕСЕТ

Alex_Serena,
кто ищет, тот всегда найдет
http://forum.drweb.com/index.php?showforum=35


[QUOTE]Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»

9 ноября 2015 года

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault». [/QUOTE]

http://news.drweb.ru/show/?i=9689&lng=ru&c=14

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
zoo %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE
delall %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\HGZFUZ.EXE
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению документов проверьте наличие теневых копий,

по расшифровке документов напишите в техподдержку [email protected] при наличие лицензии на антивирус ЕСЕТ