Зашифровались все файлы

Сегодня утром, одна из сотрудниц получила письмо якобы от консультанта, следующего содержания:
-------- Пересылаемое сообщение--------
24.02.2015, 05:55, "Отдел продаж - "Консультант Плюс"" <[email protected]>:

День добрый,
Скидываю счета для проведения оплаты согласно Договора от 22.10.2014 года (во вложении).
Пожалуйста, погасите неоплаченный остаток за пользование системой "Консультант Плюс". Средства в полном объеме мы так и не получили, хотя прошло уже больше 2 месяцев.. По нашей оборотно-сальдовой ведомости за вами числиться небольшой долг.
Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.

Спасибо.

Прикреплённые файлы:
1. Счета.zip

--
С Уважением,
Алина Островская
Старший менеджер по работе с клиентами
КонсультантПлюс

-------- Завершение пересылаемого сообщения --------
по незнанию, она открыла вложенный файл и после перезагрузки получила зашифрованные файлы (документы, картинки, pdf-файлы и прочее) на обоих логических дисках, которые сейчас имеют расширение *.vault
Была скачана CureIT и выполнено полное сканирование компьютера, был найден один подозрительный файл, который был удален. Но результата это не дало.
Могу предоставить то самое вложение, если это как то может помочь.
В аттаче логи программ AVZ и HiJack.
Заранее огромное спасибо за помощь. Комп нашего офис менеджера на нем очень много нужных файлов.

Уважаемый(ая) [B]kerber0s[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Office Manager\Application Data\VAULT.hta','');
DeleteFile('C:\Documents and Settings\Office Manager\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VAULT Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Сделайте новые логи по правилам[/B]

Во вложении файлы отчета, которые сделаны во второй раз после выполнения скрипта, который Вы предоставили.
Файл карантина, сделан до второй генерации логов. Потому что после второй генерации логов программ AVZ и HiJackThis карантин был пуст.
Карантин отправлен согласно Приложения 2

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

логи RSIT

Что в папке C:\Documents and Settings\Office Manager\Application Data\gnupg ?

Там пусто. нет ни одного файла или папки.

Тогда эту папку можно удалить.

С расшифровкой не поможем

даже если мы оформим платную подписку?
просто данные с того компьютера очень нужны(

Увы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]