Tento ransomware přidává do názvu zašifrovaného souboru některou z následujících přípon:
.aes_ni
.aes256
.aes_ni_0day

V každé složce s nejméně jedním zašifrovaným souborem lze najít soubor „!!! READ THIS - IMPORTANT !!!.txt“. Dále tento ransomware vytváří soubor s klíčem, jehož název vypadá podobně jako: [NÁZEV_POČÍTAČE]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day ve složce C:\ProgramData.

Soubor „!!! READ THIS - IMPORTANT !!!.txt“ obsahuje následující vyděračský vzkaz:

Zašifrované soubory mají příponu „.Alcatraz“.

Po zašifrování souborů najde uživatel na ploše soubor s názvem „ransomed.html“ obsahující podobné sdělení:

Apocalypse přidává na konec názvu souboru příponu .encrypted, .FuckYourData, .locked, .Encryptedfile nebo .SecureCrypted. (Např. ze souboru diplomova-prace.doc udělá soubor diplomova-prace.doc.locked.)

Při otevření souboru s příponou .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt nebo .Where_my_files.txt (např. diplomova-prace.doc.How_To_Decrypt.txt) se zobrazí zpráva podobná této:

Zašifrované soubory lze poznat podle jedné z následujících přípon:
.ATOMSILO
.lockfile

V každé složce s nejméně jedním zašifrovaným souborem lze najít soubor se vzkazem ohledně výkupného, který má název ve tvaru README-FILE-%ComputerName%-%Number%.hta nebo LOCKFILE-README-%ComputerName%-%Number%.hta, například:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Babuk k názvu souboru, který šifruje, připojuje některou z následujících přípon:
.babuk
.babyk
.doydo

V každé složce s nejméně jedním zašifrovaným souborem lze najít soubor Help Restore Your Files.txt s následujícím obsahem:

BadBlock nemění názvy souborů.

Po zašifrování souborů zobrazí ransomware BadBlock jednu z následujících zpráv (ze souboru s názvem Help Decrypt.html):

Bart přidává na konec názvu souboru příponu .bart.zip. (Např. ze souboru diplomova-prace.doc udělá soubor diplomova-prace.doc.bart.zip.) Vytváří tedy zašifrované archívy ZIP, které obsahují původní soubory.

Po zašifrování souborů změní Bart tapetu na ploše na obrázek podobný tomu níže. Ransomware Bart lze také poznat právě podle textu na tomto obrázku. Příslušný obrázek je uložen na ploše v souboru s názvem recover.bmp a text tamtéž v souboru recover.txt.

Tento ransomware přidává následující příponu: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Tento ransomware rovněž v každé složce vytváří textový soubor s názvem „Read Me.txt“. Obsah tohoto souboru je uvedený níže.

Názvy zašifrovaných souborů mají následující formát:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Dále do počítače umisťuje jeden z následujících souborů:
Key.dat ve složce %USERPROFILE%\Desktop,
1.bmp ve složce %USERPROFILE%\AppData\Roaming,
#_README_#.inf nebo !#_DECRYPT_#!.inf v každé složce s nejméně jedním zašifrovaným souborem.

Po zašifrování souborů změní tapetu na ploše na následující:

Také může zobrazit jednu z následujících vyděračských zpráv:

Crypt888 přidává na začátek názvu souboru řetězec Lock. (např. ze souboru diplomova-prace.doc udělá soubor Lock.diplomova-prace.doc).

Po zašifrování souborů změní ransomware Crypt888 tapetu na ploše na jednu z následujících:

Zašifrované soubory budou mít jednu z následujících přípon: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl nebo .MOLE.

Po zašifrování souborů můžete v počítači najít následující soubory:

Zašifrované soubory mají různé přípony:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Po zašifrování souborů dostane uživatel jednu z následujících zpráv (viz níže). Tato zpráva se nachází na ploše uživatele v souboru „Decryption instructions.txt“, „Decryptions instructions.txt“, „README.txt“, „Readme to restore your files.txt“ nebo „HOW TO DECRYPT YOUR DATA.txt“. Také se změní tapeta na ploše na jeden z níže uvedených obrázků.

Tento ransomware přidává do názvu souboru slovo „encrypTile“:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Také na ploše uživatele vytváří čtyři nové soubory. Názvy těchto souborů jsou lokalizované, ale v angličtině zní takto:

Když je ransomware spuštěný, aktivně uživateli brání v používání jakýchkoli nástrojů, které by jej mohly odstranit. V příspěvku na našem blogu najdete podrobnější pokyny, jak dešifrovací nástroj spustit, když ransomware běží v počítači.

Zašifrované soubory mají příponu „.crypt“.

Po zašifrování souborů vytváří na ploše uživatele několik souborů s názvy jako: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Všechny obsahují stejné textové sdělení:

Speciální pokyn: Dešifrovací nástroje od Avastu jsou aplikace pro Windows, takže je třeba na Mac nainstalovat emulační program (např. WINE nebo CrossOver). Další informace naleznete v příspěvku na našem blogu.

Zašifrované soubory budou mít jednu z následujících přípon:
.FONIX,
.XINOF

Po zašifrování souborů na počítači oběti zobrazí tento ransomware následující obrazovku:

Tento ransomware přidává několik různých přípon:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (písmena jsou náhodná)

Tento ransomware rovněž v každé složce vytváří textový soubor s názvem „GDCB-DECRYPT.txt“, „CRAB-DECRYPT.txt“, „KRAB_DECRYPT.txt“, „%RandomLetters%-DECRYPT.txt“ nebo „%RandomLetters%-MANUAL.txt“. Obsah tohoto souboru je uvedený níže.

Nejnovější verze ransomwaru také dokážou na ploše uživatele nastavit následující pozadí:

Globe přidává do názvu souboru některou z následujících přípon: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9] nebo .hnyear. Některé z jeho verzí šifrují také názvy souborů.

Po zašifrování souborů najde uživatel v souboru s názvem „How to restore files.hta“ nebo „Read Me Please.hta“ podobné sdělení:

Zašifrované soubory lze rozpoznat podle přípony .[vote2024forjb@protonmail.com].encryptedJB. Uživatelům je také na plochu umístěn soubor read_me.html (viz obrázek níže).

Zašifrované soubory mohou mít mj. jednu z následujících přípon: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Po zašifrování souborů se uživateli na ploše zobrazí textový soubor (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Různé varianty mohou také zobrazit vyděračskou zprávu:

Zašifrované soubory budou mít jednu z následujících přípon: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org nebo .gefickt.

Po zašifrování souborů se zobrazí jedna z následujících obrazovek:

Tento ransomware přidává na konec názvu souboru příponu „.MyChemicalRomance4EVER“:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Zároveň na ploše uživatele vytváří textový soubor „UNLOCK_guiDE.txt“. Obsah tohoto souboru je uvedený níže.

Legion přidává na konec názvu souboru příponu podobnou těmto: ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion nebo .$centurion_legion@aol.com$.cbf. (Např. ze souboru diplomova-prace.doc udělá soubor diplomova-prace.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion.)

Po zašifrování souborů změní ransomware Legion tapetu na ploše a zobrazí vyskakovací okno podobné tomuto:

NoobCrypt nemění názvy souborů. Zašifrované soubory však nelze otevřít příslušnou aplikací.

Po zašifrování souborů najde uživatel na ploše soubor s názvem „ransomed.html“ obsahující podobné sdělení:

Zašifrované soubory lze poznat podle jedné z následujících přípon:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Uživatelům je také na plochu umístěn soubor s žádostí o výkupné, který má jeden z těchto názvů:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Zašifrované soubory lze poznat podle jedné z následujících přípon:
.mallox
.exploit
.architek
.brg
.carone

V každé složce s nejméně jedním zašifrovaným souborem je také soubor se vzkazem ohledně výkupného, který má název RECOVERY INFORMATION.txt (viz obrázek níže).

Stampado přidává k zašifrovaným souborům příponu .locked. Některé varianty šifrují také samotný název souboru, takže zašifrovaný soubor může mít název dokument.docx.locked nebo 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Po zašifrování se zobrazí následující obrazovka:

SZFLocker přidává na konec názvu souboru příponu .szf. (např. ze souboru diplomova-prace.doc udělá soubor diplomova-prace.doc.szf)

Jakmile se pokusíte otevřít zašifrovaný soubor, ransomware SZFLocker zobrazí tuto zprávu (v polštině):

Nejnovější verze ransomwaru TeslaCrypt nemění názvy souborů.

Po zašifrování souborů zobrazí ransomware TeslaCrypt některou z variant této zprávy:

Zašifrované soubory budou mít jednu z následujících přípon:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Po zašifrování souborů vytváří na ploše uživatele několik souborů s názvy README1.txt až README10.txt. Jsou v různých jazycích a obsahují následující text:

Také změní pozadí na ploše uživatele na následující obrázek:

Tento ransomware přidává k zašifrovaným souborům příponu „.~xdata~“.

V každé složce s nejméně jedním zašifrovaným souborem lze najít soubor „HOW_CAN_I_DECRYPT_MY_FILES.txt“. Dále tento ransomware vytváří v následujících složkách soubor s klíčem, jehož název vypadá podobně jako:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~:

• C:\

• C:\ProgramData

• Desktop

Soubor „HOW_CAN_I_DECRYPT_MY_FILES.txt“ obsahuje následující vyděračský vzkaz: