ключи pub/sec (ключевая пара) в скрипте создаются одной командой
[QUOTE]"%temp%\svchost.exe" --batch --homedir "%temp%" --gen-key "%temp%\gk.vlt"[/QUOTE]
здесь svchost.exe - это упакованный в UPX легальный модуль gpg.exe
генерация ключевой пары происходит по алгоритму, который запрограммирован в gpg.exe.
[U]по идее можно посмотреть по исходному открытому коду, как генерятся ключи.[/U]
но воссоздать условия генерации, чтобы повторно можно было создать одинаковый ключ - это уже из области фантастики, типа машины времени. :)
сам ID еще и возможно повторить с какой то вероятностью (короткое имя), но на самом деле важен отпечаток ключа, а он значительно длиннее.
[B]отпечаток уж точно не повторить.
-------------
[/B]
[QUOTE]Представим ситуацию : я зашифровал файл, а ключ потерял, разве нельзя
его восстановить по тем данным, которые я использовал при создании
утерянного?[/QUOTE]
это надо смотреть алгоритм генерации ключей.
да и если вы выполняли движение мышью, или нажатие клавиатуры  в момент генерации ключа, это уже не повторить в точности,
а эта инфо наверняка используется при генерации ключа.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES\SPEEDFAN\SPEEDFAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\C4C5~1\LOCALS~1\TEMP\8609171AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------
dnsreset
regt 14
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

нет,
это MAC ADDRESS сетевой можно изменить,
а ID ключа RSA изменить нельзя. (по крайней мере я не знаю точно как это сделать :))
----------
ключ да, можно настраивать. можно добавить доверие к нему, можно изменить парольную фразу при условии, что вы знаете предыдущую, можно изменить срок действия ключа,
можно добавить фото, добавить несколько подключей,
но для этого вам должна быть известна парольная фраза ключа (если она конечно есть)
[B]но сам отпечаток созданного ключа уже не изменить.

а чтобы переделать один ключ в другой, вы, по крайней мере, должны знать, а какой он - другой? :)
[/B]

посмотрите, может оно сохранилось в корзине удаленных файлов.
таким образом мы хотя бы сможем предупредить других пользователей.
файл счета был приложен в письме, или по ссылке скачивался через браузер из сети?

ну, молодцы здесь разработчики PGP/GNUPG, которые создали надежную криптостойкую систему шифрования (и те кто создавал алгоритмы шифрования), а злоумышленники лишь воспользовались результатами их работы. :)

да, там спец. утилита sdelete Руссиновича) используется для затирания этих файлов.

[QUOTE]"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\secring.gpg"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\vaultkey.vlt"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\confclean.list"[/QUOTE]

в этом файле confclean.list хранятся полные пути на все зашифрованные документы. файл после шифруется и помещается в CONFIRMATION.KEY

через функцию import, ключ будет извлечен.
[QUOTE]gpg.exe --import vaultkey.vlt[/QUOTE]

там просто алгоритм работы такой.
вначале создается пара puring.gpg/secring.gpg
затем все секретные ключи экспортируются на файл vaultkey.vlt
затем файл vaultkey.vlt шифруется, но уже другим ключом
pub key злоумышленников.
после этого шифрования ваш ключ обратно извлечь могут только они сами. поскольку sec key необходимый только у них хранится.

[B]понятно. сам иногда такие эксперименты проделываю :). чтобы посмотреть на запчасти шифратора.

поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.[/B]

вообще интересно. время шифрования файла
(05.03.2015 8:32:54 UTC)
а время создания ключа secring.gpg на три минуты позднее
05.03.2015 8:35:41 UTC)

но ключи с разными ID.
выложите, или вышлите еще несколько зашифрованных файлов.
-------------
[B]понятно. поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.[/B]

судя по зашифрованному файлу шифрование у вас было этим ключом
[QUOTE]gpg: зашифровано ключом RSA с I[B]D 92668966[/B]
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\4\СОГУ.xls.vault
Time: 05.03.2015 14:32:54 (05.03.2015 8:32:54 UTC)[/QUOTE]
а secring.gpg совсем с другим ID

[QUOTE]gpg: ключ 636E9569: уже есть в таблице закрытых ключей
gpg: Всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: Z:\virus!\shifratory\bat.encoder.vault\4\secring.gpg
Time: 05.03.2015 14:35:41 (05.03.2015 8:35:41 UTC)[/QUOTE]
это не тот ключ. возможно он был создан после повторного запуска шифратора. в этом случае он не подойдет к файлам, зашифрованным в результате первого запуска шифратора.