Шифровальщик VAULT распространяется через электронную почту в виде JS-файлов. Существует два варианта: "мелкий" скрипт и "большой". Мелкий качает компоненты через интернет, большой все свое носит с собой.
Расшифровка крайне маловероятна. В общем случае она может быть только у авторов трояна, а может и не быть. Dr.Web может проверить есть ли шансы на расшифровку в конкретно вашем случае без обращения к авторам трояна. Для этого нужно обращаться в техподдержку с лицензией.
Для шифрования используется GPG. В нем используется криптография с открытым ключом.
Профилактика: резервное копирование. Кустарные методы типа запрета запуска и прочего не дают сколь либо надежной гарантии сохранности файлов.
FAQ:
Q. Вот мои файлы, посмотрите.
A. Обращайтесь в техподдержку (https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1)
Q. Как работает троян? Зачем нужен файл с именем filename?
A. Читайте исходный код трояна, который вы получили в письме. Читайте документацию на GPG.
Q. А вот я придумал такой способ защиты.
A. Если это не грамотное резервное копирование - забудьте про него. Если ВЫ можете обойти этот способ - его обойдет и троян. Если вы НЕ МОЖЕТЕ - не факт, что не могут авторы трояна
Q. А вот контора "ВорГадТрансМаш" расшифровывает файлы!
A. Расшифровка в общем случае есть у авторов трояна и ни у кого больше. Как не сложно догадаться, выступать "прокладкой" может каждый. Обсуждать 16 вариантов таких прокладок бессмысленно.
Q. Антивирус <имя> пропустил этот троян!
A. Никто не дает гарантии обнаружения всех вирусов.
Сообщение было изменено v.martyanov: 27 Март 2015 - 14:24