Зашифрованы файлы шифровальщиком VAULT

[MnemoNic]

Сегодня один из пользователей получил письмо с вложением: "Акт сверки и дополнительное соглашение к договору от 24 октября 2015г. Подписать до 29 октября. Согласовано директором_087446a020f.tхt .js", к сожалению само письмо он успел удалить...
Итог: зашифрованы все файлы на его компьютере и на сетевом диске в папках к которым у него был доступ на изменение/запись
(xls,xlsx,doc,docx) - пострадали файлы только с этим расширением (добавлено расширение *.vault"), на сетевом диске, также видны следы работы вируса в тех папках, где ему не удалось произвести шифровку есть промежуточные файлы *.pgp
Зараженная рабочая станция была в спешном порядке выключена, но уже было поздно...
На шифрование в общей сложности ушло около 4 минут

Жесткий диск из зараженного компьютера был изъят и подключен к моему, вот результат сканирования папки пользователя (лечение пока не производил)
2015-10-27_20-25-56.jpg

архив с несколькими зашифрованными файлами:
http://rghost.ru/private/6vGxjNG5H/a...8530481d529c15

какие мои дальнейшие действия? нужно ли возвращать жесткий диск обратно и проводить процедуры на живой системе?
vault.key присутствует:
2015-10-27_22-25-13.png

[Info_bot]

Уважаемый(ая) MnemoNic, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Нужны логи по правилам на пострадавшей машине