ну это вопрос к разработчикам энкодера. чего они там не учли.

нет, ключ злоумышленников, который нужен для расшифровки VAULT.KEY здесь не светится.  только на сервере злоумышленников.
вот кстати можно почитать разбор полетов шифровальщика
[URL=http://forum.drweb.com/index.php?showtopic=320137&page=13#entry757399]http://forum.drweb.com/index.php?showtopic=320137&page=13#entry757399[/URL]

Дмитрий, вы сейчас немного не тем  заняты.
надо проверять по компам следующее:
1. собирать VAULT.key и CONFIRMATION.KEY по каждой зараженной машине.
2. выполнять поиск secring.gpg и vaultkey.vlt (если будут найдены живыми), то в данном случае возможна расшифровка.
3. если эти ключи необходимые не найдены, проверить возможность восстановления документов из архивных и теневых копий.
4. если и этой возможности нет, а документы жизненно важны для вас, тогда срочно брать кредит в МВФ и  готовиться к выкупу ключей у злоумышленников с максимально возможной скидкой, (может мантру какую то для этого надо выучить.)
5. если документы не важны для вас и вы можете без них продолжить работу, то удалить все зашифрованные доки,по возможности восстановить все что можно,
далее, засучить рукава и приняться настраивать создание архивных копий документов, и локальных политик безопасности по ограниченному запуску программ в системе.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRA~3\MOZILLA\BHOIQXB.DLL
delall %SystemDrive%\USERS\WOLFRAMIUM\APPDATA\ROAMING\MICROSOFT\INT­ERNET EXPLORER\QIPSEARCHBAR.DLL
hide D:\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\UNINS000.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

regt 28
regt 29

deltmp
delnfr

; Search Protection
exec C:\Users\Wolframium\AppData\Roaming\Search Protection\uninstall.exe
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

по второму компу secring.gpg=0 для расшифровке не подойдет. проверьте возможность восстановления документов из теневых копий документов.

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\6\vir\VAULT.KEY
Time: 10.03.2015 15:19:46 (10.03.2015 9:19:46 UTC)
------------
этого ключа нет в вирлабах, только у злоумышленников.
соответственно, расшифровать и достать secring.gpg могут только они.
-------
поищите на дисках ключи: pubring.gpg, secring.gpg с ненулевым размером.
в каждом случае шифрования, для разных (ваших) компов это будут разные файлы.
--------
т.е. для каждого случая шифрования у вас должен быть свой VAULT.KEY и CONFIRMATION.kEY
если найдете еще и pubring.gpg/secring.gpg тоже сложите их аакуратно, каждый в свою папочку.

если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы

[QUOTE]uVS v3.85.3 [[URL=http://dsrt.dyndns.org]]http://dsrt.dyndns.org][/URL]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS][/QUOTE]
другое дело, включена ли защита системы для дисков или нет.

вы видимо образ делали в тот момент, когда еще идет шифрование
[QUOTE]"C:\Windows\TEMP\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "D:\Documents\Pictures\2014-07-30 документ\документ 013.jpg"[/QUOTE]
надо перегрузить систему,
и проверить что там в %TEMP% юзера осталось.
возможно будет ключ secring.gpg
вообщем все подозрительные файлы из temp юзера добавьте в архив.
этот файл можно удалить
[QUOTE]C:\Windows\TEMP\svchost.exe[/QUOTE]

это оставьте в мбам
[QUOTE]Processes: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb]
Files: 3
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb],
RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5], [/QUOTE]
остальное все удалите.
далее,

далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
[URL=http://forum.esetnod32.ru/forum9/topic10570/]http://forum.esetnod32.ru/forum9/topic10570/[/URL]

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\LOCAL\YANDEX\UPDATER\­PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\MICROSOFT\INT­ERNET EXPLORER\QSTATSRV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

regt 28
regt 29
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe
; etranslator
exec  C:\Users\Комплисите\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Time tasks
exec  C:\ProgramData\Schedule\uninstall.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Комплисите\AppData\Roaming\VOPackage\uninstall.exe
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
deldir %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\VOPACKAGE
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте возможность восстановления доков из теневой копии.
3. по расшифровке документов: если у вас есть лицензия на продукт Есета, отправьте несколько защифрованных документов, а так же архив с вредоносной программой в техподдержку
[URL=mailto:[email protected]][email protected][/URL]