Начал сильно тормозить комп, вместо принять меры, юзер его мучил...
Результат - практически все фото - видео - док файлы стали не читабельны и к расширению получили приставку .wyqpril.
Удаление приставки не возобновляет читабельность файла, файлы имеют реальный размер, не в нулях.
Самого вируса не отловил... Стоит вопрос возможности восстановления файлов.
Гугл об wyqpril ничего пока не знает...
Чем и как анализировать? Есть ли готовые декриптеры?
Образец файла в атаче.

Гадать о способах криптования по одному лишь криптованому файлу - всё равно что тыкать пальцем в ... :) нужно само тело вируса

Тогда вопрос снимается...

Мне как то помогло лет надцать назад, манула в архиве, пробуй.

К сожалению, не помогло.

Декрипта нет
Расширение ничего не значит, выбирается случайно
Файлы сжаты архиватором и наложен крипт
Скорее всего и теневые копии тоже удалены

Информация и методы восстановления файлов (практически безнадега) по ссылке

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Пока не будет тела сделать что либо нереально. Ищи в процессах, например AVZ

тело чего? вируса?
могу прислать, только ничего это не даст
ключ генерируется случайным образом и сразу отсылается на сервер мошенникам
на компьютере его нет

Что интересно, никаких сообщений мол дай денег не было.
Есть мнение, что вирь работал целенаправленно внутри корпоративной сети...
Была рассылка по корпоративной электронке.

Сообщение было, его скорее всего просто закрыли
поищите на компе файлы типа Decrypt All Files*

это не целенаправленная рассылка, это спам рассылка на миллионы адресов засвеченных в инете
обычно приходит письмо в архиве, внутри еще один архив а там уже исполняемый файл с иконкой pdf или doc, это загрузчик основного тела вируса, шифрует очень быстро
в теме может быть что угодно и на всех языках мира включая русский

тело чего? вируса?
могу прислать, только ничего это не даст
ключ генерируется случайным образом и сразу отсылается на сервер мошенникам
на компьютере его нет

Это смотря куда слать, берем тело вируса и пару криптованных файлов и шлем в DrWeb или Касперский, первые обычно бесплатно делают дескриптеры для свободного использования, насчет вторых не уверен.

Это смотря куда слать, берем тело вируса и пару криптованных файлов и шлем в DrWeb или Касперский, первые обычно бесплатно делают дескриптеры для свободного использования, насчет вторых не уверен.

У них есть образцы с 19 января
ничего они не сделали до сих пор и вряд ли сделают
мало того в одной из ревизий этого вируса есть ошибка криптования и даже автор их раскриптовать не может

а дайте тельце на посмотреть :)

Это смотря куда слать, берем тело вируса и пару криптованных файлов и шлем в DrWeb или Касперский, первые обычно бесплатно делают дескриптеры для свободного использования, насчет вторых не уверен.
Максимум что дают эти лаборатории - HASH для самостоятельного брута испорченных старыми версиями криптора, файлов.
А в этом свежачке, похоже ключ такой длины, что брутить можно до посинения.