1. добавьте образ автозапуска для проверки системы.
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

если вы на какой-то стадии прервали процесс шифрования, то поищите на диске secring.gpg и vaultkey.vlt, чтобы они соответствовали по дате создания зашифрованным файлам.
+
вопрос: каким образом старый ключ (от 10марта 2015г оказался в папке %temp%

по файлам:
gpg: зашифровано ключом RSA с ID B4601A8B
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\19\Выписка из протокола заседания Президиума.docx\Выписка из протокола заседания Президиума.docx.vault
Time: 26.03.2015 11:48:07 (26.03.2015 5:48:07 UTC)
-----------
gpg: зашифровано ключом RSA с ID B4601A8B
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\19\Выписка из протокола заседания Президиума.docx\Выписка из протокола заседания  Президиума.doc.vault
Time: 26.03.2015 11:48:48 (26.03.2015 5:48:48 UTC)
-------
gpg: зашифровано ключом RSA с ID B4601A8B
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\19\Выписка из протокола заседания Президиума.docx\Приказ  Министерства  образования  МО  от  29.doc.gpg
Time: 26.03.2015 11:49:14 (26.03.2015 5:49:14 UTC)
-----------------
все три файла зашифрованы ключом RSA с ID B4601A8B
секретный secring.gpg из первого архива не соответствует ключу шифрования, поэтому расшифровка им невозможна.
другого secring.gpg с ID B4601A8B у нас нет.

[URL=http://forum.esetnod32.ru/user/20602/]Алексей Соколовский[/URL]
ключевая пара pub/sec  есть в архиве,
добавьте несколько зашифрованных ваших файлов для проверки. проверим происхождение ключей
подойдут данные ключи или нет.

gpg: ключ [B]384935DC[/B]: уже есть в таблице закрытых ключей
gpg: Всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: Z:\virus!\shifratory\bat.encoder.vault\19\1\1\secring.gpg
Time: 26.03.2015 10:34:29 (26.03.2015 4:34:29 UTC)
----------------
[B]вообще, этот ключ создан 10.03.2015[/B]

завтра проверим результат

вот так мы и заражаемся, подошел кот  и лег на клавиатуру, и прямо на клавишу enter
зашифрованный архив раскрылся.
если бы курсор стоял чуть выше на папке с распакованным js, то непременно бы вошел в папку и запустил js :)
осторожность и еще раз осторожность. :)

вчера отправляли
[URL=https://www.virustotal.com/en/file/20aa975f97aa37eefe42d792e0168266323d850c64177e7fb916350e36b1c780/analysis/1427305131/]https://www.virustotal.com/en/file/20aa975f97aa37eefe42d792e0168266323d850c64177e7fb916350e36b1c780/...[/URL]
похоже не добавили этот вариант js, который содержит закодированные base64 исполняемые файлы в самом js.
т.е. теперь они не будут закачиваться из сети, а раскодируются прямо из js

надо продублировать сообщение в вирлаб

[URL=http://forum.esetnod32.ru/user/20590/]Роман Омельянов[/URL],
если есть желание разобраться с работой GnuPG
скачайте отсюда
[URL=ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe]ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe[/URL]
и установите GnuPG
+
отсюда можно скачать GnuPGShell
[URL=http://www.jumaros.de/rsoft/index.html]http://www.jumaros.de/rsoft/index.html[/URL]
ей удобно выполнять различные действия над файлами и ключами.

открытым ключом вы не сможете расшифровать документы, он создается для шифрования, а приватная часть ключа для расшифровки.
такова особенность ассиметричного шифрования.

после установки в каталоге можно найти подробный мануал по работе с GnuPG

еще здесь можно прочесть
[URL=http://www.opennet.ru/base/sec/gpg_crypt.txt.html]http://www.opennet.ru/base/sec/gpg_crypt.txt.html[/URL]
и здесь
[URL=https://www.pgpru.com/soft]https://www.pgpru.com/soft[/URL]

вообщем, набрать в поисковике тему "работа с GnuPG" и внимательно все прочесть, во всем разобраться.
------------
+
здесь я описал, как можно защититься от шифрования данным энкодером.
[URL=http://chklst.ru/forum/discussion/532/bat-encoder]http://chklst.ru/forum/discussion/532/bat-encoder[/URL]

это актуально и для VAULT

используем ранее созданную пару ключей, размещаем pubring.gpg в папку %TEMP% .юзера и защищаем его от перезаписи.
если шифрование все таки случится, то произойдет оно не случайным ключом, а нашим.

соответственно, и расшифровать будет чем.

ключ, да не тот.
gpg: зашифровано ключом RSA с ID B3BDCD1F
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\18\акт-приемки.doc.vault
Time: 25.03.2015 17:37:25 (25.03.2015 11:37:25 UTC)
----------------
доки зашифрованы ключом с ID [B]B3BDCD1F[/B]
а ваш secring.gpg имеет другой ID

gpg: ключ [B]81D43505[/B]: уже есть в таблице закрытых ключей
gpg: Всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: Z:\virus!\shifratory\bat.encoder.vault\18\secring.gpg
Time: 25.03.2015 17:38:56 (25.03.2015 11:38:56 UTC)

[B]-------[/B]
[B]разные ID, поэтому данный ключ не подойдет для расшифровки.

[/B][B]мо[/B]жете сами проверить: установить GnuPG, импортировать secring.gpg тот что есть, и пробовать расшифровать какой нибудь один файл.[B]
[/B]

[QUOTE]Роман Омельянов написал:
691 байт[/QUOTE]
да, это нормальный размер для ключа,
только заранее говорю, что нужен не любой secring.gpg, а именно, созданный на момент запуска шифратора, когда начался процесс шифрования.
если вы повторно запустили шифратор и сняли новый secring.gpg, то он не подойдет к ранее зашифрованным файлам.

потому надо проверить этот ключ.