Атака вируса-шифровальщика VAULT

24 марта по неосторожности "поймал" через почту вирус-шифровальщик, в результате атаки которого значительная часть хранящихся в явном виде файлов .doc и .xls практически одномоментно была зашифрована с присвоением расширения .vault (всего немногим менее 800 штук).
Файлы других типов не пострадали. Файлы .doc и .xls в архивах и файлах данных MS Outlook также не пострадали.
Окно-"вымагатель", обычно характерное для атаки вирусов-шифровальщиков, не появлялось.


В результате выполнения рекомендаций "Инструкции по оформлению запроса о помощи", а именно проверки и лечения утилитой AVPTool, были обнаружены и удалены три трояна: Trojan-Ransom.BAT.Scatter.an; Trojan-Ransom.BAT.Scatter.ak; Trojan-Ransom.BAT.Scatter.aq (скрин окна отчёта AVPTool прилагается).


Файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log), прилагаются.
Несколько примеров поражённых файлов выложены на файлообменник @Mail.ru; ссылка на папку с файлами: [URL]https://cloud.mail.ru/public/2f0349d2ec07/%D0%B6%D0%B5%D1%80%D1%82%D0%B2%D1%8B%20Vault[/URL]


Дальнейшего распространения эпидемии шифрования файлов в настоящий момент не наблюдается.


Вопросы:
1) Можно ли быть уверенным, что "зловред"-шифровальщик нейтрализован и был среди удалённых в результате лечения AVPTool, а не затаился где-то ещё?


2) Существует ли в данном случае принципиальная возможность дешифровки некоторого количества (порядка нескольких десятков) файлов .doc и .xls, содержащих критически важную для меня, и притом трудновосстановимую, информацию? Сможете ли в этом помочь? Если да, то какие действия для этого требуются от меня?


Заранее признателен за любую помощь.

Уважаемый(ая) [B]Igor K[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','');
DeleteFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Запрошенный карантин выгружен.

Запрошенные новые логи прилагаются.

Пофиксите в HiJack
[CODE]O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)[/CODE]В остальном порядок.

С расшифровкой не поможем.

[QUOTE=thyrex;1252349]Пофиксите в HiJack
[CODE]O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)[/CODE]В остальном порядок.


С расшифровкой не поможем.[/QUOTE]

Спасибо за помощь! В самое ближайшее время постараюсь перевести пожертвование на развитие проекта. Успехов вам в вашем благородном деле!

Что означает "С расшифровкой не поможем"? В смысле: это в данном случае невозможно в принципе (например, применённый вирусом код технически не поддаётся расшифровке или обратная задача метода шифрования не имеет практического решения), либо невозможно в рамках бесплатного сервиса данного проекта?...

Помогут только злодеи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]