Как восстановить файлы после вируса Vault. Как восстановить файлы после заражения вирусом Vault Файлы с расширением vault как расшифровать

Vault - это не просто вирус, это шифровальщик файлов. Он проникает на ваш компьютер, меняет расширение всех ваших файлов на свое,после чего вы не можете их открыть. Даже если вы переименуете файлы в необходимый формат и откроете, вы увидите на экране только “кашу” из непонятных символов. Сегодня мы поговорим о том, как удалить вирус Vault и восстановить файлы, которые он зашифровал.

Вирус Vault является одним из видов трояна. Для того, чтобы попасть на компьютер пользователя, злоумышленники обычно используют методы социальной инженерии. Этот может быть письмо из суда, фото от друга в вк или безобидная ссылка от симпатичной девушки. После того, как вы откроете письмо и запустите искомый файл, шифратор Vault начинает свою работу.

Vault шифрует ваши данные с помощью уникального алгоритма. После завершения необходимых операций ключ дешифровки безвозвратно удаляется из системы. На вашем компьютере преступники оставляют контактную информацию для связи с ними. Их цель – это получить денежную компенсацию за дешифратор Vault . Однако даже в случае выплаты выкупа вы не можете быть уверены в том, что все ваши данные будут восстановлены, хотя это и возможно.

Целью разработчиков вируса Vault является получение прибыли. Таким образом, в первую очередь они стараются зашифровать важные данные как для конкретного пользователя ПК, так и для организации. Обычно под их удар попадают следующие файлы:

.mp3, .ogg, .avi, .mpeg – медиаданные пользователя
.jpg, .psd – графически материалы
.rar, .zip, .doc, .xls, .ppt, .pdf – архивы, презентации, документы, таблицы
.html, .txt, базы данных 1С и т.д. – важные документы, базы программ типа 1С, бухгалтерии и т.д

Вирус Vault в первую очередь постарается зашифровать файлы с данными расширениями, а потом примется и за другие.

Если у вас отсутствует антивирусная защита на вашем компьютере – то вы вполне можете стать жертвой заражения шифровальщиком vault. Ненамного лучше, если вы используете устаревшее или ненадежное ПО. Рекомендую вам установить один из , чтобы быть в относительной безопасности.

Однако, даже установка хорошего антивируса не является гарантией того, что вы избежите заражения. Да что там – даже пользователи мощных корпоративных пакетов часто становятся жертвой данного трояна.

Отделы it-безопасности компаний ESET и Dr.Web разработали небольшую памятку, которая увеличит безопасность вашего компьютера и поможет избежать зашифровки и потери важных файлов:

открывайте с осторожностью ссылки, полученные от знакомых людей и не открывайте вовсе, полученные от незнакомых
включите автоматическое обновление ОС и обязательно устанавливайте все критические и важные обновления
останавливайте свой выбор только на мощных антивирусных пакетах
если у вас свой почтовый сервер – установите запрет на передаче исполняемых файлов в письмах
отключите макросы в Microsoft Office (или в подобном ему ПО)
постоянно делайте бэкап важных данных. В этом вам помогут

Удалить или “вылечить” вирус Vault крайне просто. Обычно для этого достаточно просканировать жесткий диск вашего компьютера утилитой типа CureIt от Dr.Web. Однако не забывайте о том, что удаление зашифрованных файлов или переустановка Windows сведет шансы на успешной восстановление данных практически к нулю.

Таким образом, удалить вирус легко, однако восстановить зашифрованные данные гораздо сложнее!

Если же у вас есть резервная копия нужных данных, то можете смело форматировать жесткий диск и ставить ОС заново – от вируса не останется и следа.

Если вы поняли, что с вашем компьютером что-то не так и подозреваете, что он заражен – то стоит немедленно выключить его. Чем больше времени проработает шифратор vault, тем больше данных вы потеряете.

Скажу еще раз: полное сканирование диска антивирусными программами и , переустановка ОС и прочие действия, которые пользователи привыкли проводить при вирусном заражении, крайне сильно уменьшат шансы на восстановление зашифрованных данных.

Из-за сложности алгоритма шифрования пока что не существует дешифратора vault.

А что насчет точек восстановления системы? Дело в том, разработчики вируса позаботились и об этом! Точки восстановления безвозвратно удаляются, как и теневые копии системы. Вы можете попытаться восстановить их с помощью Shadow Editor, но, в общем, это гиблое дело. Разработчики вируса постоянно совершенствуют свое детище, как это не прискорбно.

Впрочем, если вы пользуетесь лицензионным антивирусом от NOD32 или Dr.Web, вы можете попробовать обратиться в техподдержку с запросом о расшифровке данных. Форма заявки NOD32 и Dr.Web для расшифровки данных, которые зашифровал вирус vault.

Кроме этого, вы можете обратиться в полицию, так как в действиях разработчиков и распространителей данного ПО присутствует состав преступления. Впрочем, навряд ли это поможет восстановить ваши данные…

К сожалению, скорее всего данные действия не принесут желанного результата. Поэтому у вас есть два выхода:

Положить жесткий диск на полку и ждать, когда появится дешифратор vault
Заплатить преступникам. Чаще всего они действительно высылают ключ, который расшифровывает ваши данные, хотя и не все. Обычно они требуют прислать им определенный файл, в котором перечислен объем и тип зашифрованных файлов. После этого они называют “сумму выкупа”, которую необходимо перечислить на их кошелек Bitcoin.

Реклама о дешифраторе Vault в интернете

После того, как появились жертвы заражения вирусом vault, появились и сайты, которые предлагали свои услуги по дешифровке вашей информации. В 99% случаем это обычное мошенничество, так как такого дешифратора не существует в природе. И если ведущие специалисты по информационной безопасности не смогли создать подобный дешифратор (в том числе и разработчики антивируса Касперский), то как это удалось безымянной конторе из интернета?

Чаще всего создатели таких сайтов вступают в переговоры с разработчиками вируса, договариваются об определенной сумме выкупа и берут с вас не только эту сумму, но свой “барыш”. Соответственно, даже в этом случае никто не дает вам 100%-ной гарантии восстановления потерянных файлов. А если дают – то они просто обманывают вас.

Итак, сегодня мы поговорили о вирусе шифраторе vault . Мы узнали, что это за вирус, какие файлы он зашифровывает, как уберечься от заражения и как восстановить потерянные файлы. Помните, что лучше соблюдать простые правила безопасности, указанные в статье, чем потом платить выкуп преступникам или верить словам мошенников в сети, которые предлагают купить вам дешифратор vault .

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
не удаляйте никакие файлы на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
к тикету приложите любой зашифрованный троянцем файл;
дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter ), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.

Основные характеристики вируса-шифровальщика vault

Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.

Сценарий шифровщика.vault в ОС Windows выполняется в одном из следующих случаев:
– открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;
– посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino. В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox. Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.
В следующей фазе атаки.vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат.vault
Для их восстановления необходимо получить уникальный ключ.

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере – это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная

При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
.vault, .xtbl, .cbf.
Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.

Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.

Порядок действий при атаке вымогателя.vault

Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации. Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите.vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки. В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.

Сайт службы расшифровки.vault

Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера. Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы. Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.

Будут ли файлы расшифрованы в случае передачи выкупа?

Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики.vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.

Автоматическое удаление.vault – вируса-шифровальщика данных

Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель.vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.

и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer Scan
В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats . Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса.vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.

Прочие методы восстановления файлов, зашифрованных вирусом Vault

Решение 1: Выполнить автоматическое восстановление файлов
Необходимо учитывать то факт, что троян.vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.

Решение 2: Процедура резервного копирования
Во-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.
Решение 3: Использовать теневые копии томов
Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.
Решение 4: Использовать опцию “Предыдущая версия”
В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties , далее активируйте вкладку “Предыдущие версии” / Previous Versions . В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy , чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore , запустите механизм восстановления данных в исходной папке.

Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export . Затем просто укажите путь восстановления данных.

Профилактика

Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами. В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.
Основное правило - храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных. Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение. Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.

Контроль после удаления вируса.vault

Удаление вымогателя.Vault как таковое не позволяет расшифровать личные данные. Приведенные выше восстановительные процедуры часто, но не всегда, помогают решить проблему. К слову, данный вирус нередко устанавливается вместе с другими зловредами, поэтому определенно имеет смысл повторно проверить систему автоматическим противовирусным ПО, чтобы убедится в отсутствии вредных остаточных элементов вируса и сопутствующих угроз в Реестре Windows, а также других разделах компьютерной памяти.

Вирусы могут создавать назойливую рекламу и использовать ваш трафик для своих нужд. Но вдвойне неприятно, когда хакеры опускаются к шантажу, ограничивая доступ к вашим файлам и требуют деньги. Если вы потеряли доступ к документам, и для нормальной работы нужно заплатить, то вы стали жертвой опасного вируса Vault который активно распространяется по сети.

Что представляет собой вирус Vault?

Данный вирус относится к программам-шифровальщикам. Он загружает на ваш компьютер простую программу, которая зашифровывает файлы Word, Excel, mp3-файлы, графические изображения, присваивая им расширение *.Vault.

После шифровки, пользователь полностью теряет доступ к данным. Для возобновления доступа, программой создается специальный ключ. Он остается в руках хакеров. За предоставление ключа, шантажисты требуют деньги.

Пути распространения

Вирус распространяется в замаскированном виде через электронную почту, Skype или социальные сети. Представляет собой исполняемый скрипт с расширением.js. В ряде случаев злоумышленники запаковывают вирус в архив, чтобы его сложнее можно было отследить.

После того, как пользователь запускает скрипт, вирус скачивается с серверов хакеров, а затем поселяется в папке TEMP и шифрует файлы. Антивирусы не блокируют Vault, т.к. видят в нем безопасный шифровальщик, - полезную утилиту, которую используют для защиты данных от взломщиков.

Удаление

К тому моменту, когда вы обнаружили вирус, он уже успел сделать грязную работу. Поэтому, хакеры особо не заморачиваются над тем, чтобы создавать какую-либо защиту для своего детища. Файлы трояна расположены в папке TEMP .

Удалять все подряд ни в коем случае нельзя. Перед тем как удалить вирус Vault с компьютера, обязательно сохраните следующие файлы:

CONFIRMATION.KEY — отображает количество зашифрованных файлов. Это своеобразная «смета» для злоумышленников. Благодаря ей, они определяют количество средств, которые они готовы потребовать за возобновление доступа.
Vault.KEY — ключ к данным. Он содержит идентификатор, который используют хакеры, чтобы подобрать ключ доступа к именно вашим файлам.
Vault.txt — общая информация о порядке возобновления и сайте взломщиков.

Не факт, что эти файлы вам понадобятся. Но на всякий случай лучше их хранить.

После того как вы очистили папку, сканируйте систему бесплатной программой CureIT от DrWeb , и антивирусом . Затем нужно перезагрузить компьютер и запустить диспетчер задач. Если среди процессов нет подозрительных, значит, все прошло правильно, и самая легкая часть пути осталась позади.

Расшифровка файлов после заражения

В своих обращениях к жертвам, хакеры пишут: «Поспешите, у вас мало времени», или «Время работает против вас». Злоумышленникам нужно, чтобы вы паниковали, чтобы приняли спонтанное решение, не думая расстались с деньгами за доступ к важным файлам. Действовать нужно строго наоборот. У вас есть зашифрованные файлы, и способы вернуть к ним доступ:

Купить ключ у вымогателей.
Попытаться найти следы ключа на своем компьютере.
Восстановить резервные копии файлов.
Воспользоваться решениями от антивирусных лабораторий.

Покупка ключа у хакеров

Покупать ключ у хакеров, это как выполнять требования террористов. С моральной точки зрения – очевидно, худшая затея. Деньги, которыми вы спонсируете собственный обман позже потратят на усовершенствованные виды мошенничества. Но этот вариант имеет место, ведь есть подтвержденные случаи возвращения доступа после оплаты.

Поиск дешифратора в системе

Гораздо лучше – попытаться восстановить файлы самостоятельно. Есть простой способ как восстановить файлы после Vault вируса. Поскольку в основе вредоносного ПО лежит безопасная программа-шифровщик, дешифровальный ключ создается изначально на жестком диске компьютера. Затем он отправляется на сервер взломщиков. А уже потом – удаляется. Поэтому первым делом ищите ключ. Возможно, он еще не удален. Имя ключа secring.gpg. Если удастся найти его в системе – вам повезло.

Восстановление сохраненных копий

Можно также восстановить копии файлов. Если у вас активирована защита системы, Windows применяет к файлам процедуру резервного копирования. Жмем на файл правой кнопкой, открываем вкладку «Свойства». В открывшемся окне нажимаем «Предыдущие версии». Восстанавливаем их, и пользуемся.

Совет! Старайтесь не забывать о создании точек восстановления системы . Они могут выручить вас там, где не работают обычные методы устранения проблемы.

Решения от антивирусных лабораторий

И «Лаборатория Касперского» и DrWeb признают, что бороться с шифровальными вирусами тяжело. Также трудно и определить их в системе. Но у антивирусных лабораторий есть дешифраторы, которые в ряде случаев помогают в ситуации. У «Касперского» это RectorDecryptor. Утилита сама ищет и исправляет пораженные файлы.

Если этот вариант не помог, отправляйте файл на анализ в DrWeb, и там подберут дешифратор к конкретному случаю. Запрос с описанием проблемы пишите в поддержку на официальном сайте лаборатории. Ознакомившись с проблемой, специалисты предложат отправить 3 файла:

CONFIRMATION.KEY;
Vault.KEY;
Пример зашифрованного файла.

В результате, вы получите или настроенную под конкретный случай утилиту для разблокировки всех файлов либо существующего файла.

Услуги сторонних компаний

В связи с распространением вируса, участилось количество веб-сервисов, предлагающих разблокировку за деньги. Пользоваться такими услугами нельзя ни в коем случае. Как предупреждают в «Лаборатории Касперского», в случае, когда прогрессивные аналитические центры не способны решить проблему, надеяться на спасение от сомнительной организации не стоит.

Не стоит пользоваться и программами, которые предлагают установить такие организации. Vault часто использует открытый способ шифровки RSA-1024 , и технически, разблокировать его машинным способом просто невозможно.

Как уберечь себя от вируса в будущем

Vault-вирус крайне редко определяется антивирусными программами. Поэтом, есть ряд правил, руководствуясь которыми можно уберечь себя от шифровальщиков в будущем:

Проверяйте файлы. Документы с расширением.js, которые приходят вам на почту или в социальные сети, априори опасны. Открывать их не стоит, а если вы хотите принять участие в борьбе с хакерами – лучше сразу отправлять на анализ в антивирусные лаборатории.
Копируйте данные. Храните резервные копии там, где вирус не сможет их повредить. Используйте съемные носители. Синхронизируйте с облачными сервисами, такими как OneCloud, DropBox, GoogleDrive, или Я.Диск.
Доверяйте проверенным источником. Отказывайтесь от программ, в источниках которых вы не уверены. Если у приложения доступен официальный поставщик – лучше пользоваться им, а не решениями от неизвестных организаций.
Откажитесь от пиратской продукции. Мошенники не приходят одни. Когда вы скачиваете взломанную игру, или программное обеспечение, то рискуете получить вшитый вирус. Лицензия - это растраты. Вместе с тем и безопасность.

обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
не удаляйте никакие файлы на вашем компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
к тикету приложите любой зашифрованный троянцем файл;
дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.