Ransomwaren føjer én af følgende filtypenavne til krypterede filer:
.aes_ni
.aes256
.aes_ni_0day

I hver mappe med mindst én krypteret fil findes filen "!!! READ THIS - IMPORTANT !!!.txt". Ransomwaren opretter desuden en nøglefil med et navn tilsvarende: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day i mappen C:\ProgramData.

Filen "!!! READ THIS - IMPORTANT !!!.txt” indeholder følgende løsepengebesked:

Krypterede filer har filtypenavnet ".Alcatraz".

Når dine filer er blevet krypteret, vises der en lignende meddelelse (den findes i en fil "ransomed.html" på brugerens skrivebord):

Apocalypse føjer .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc.locked)

Hvis der åbnes en fil med filtypenavnet .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt eller .Where_my_files.txt (f.eks. Thesis.doc.How_To_Decrypt.txt), vises denne type meddelelse:

Krypterede filer kan genkendes af én af disse udvidelser:
.ATOMSILO
.lockfile

I hver mappe med mindst én krypteret fil er der også en løsepengenote kaldet README-FILE-%ComputerName%-%Number%.hta eller LOCKFILE-README-%ComputerName%-%Number%.hta, f.eks.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Ved filkryptering føjer Babuk én af følgende filtypenavne til filnavnet.
.babuk
.babyk
.doydo

I hver mappe med mindst én krypteret fil kan filen Help Restore Your Files.txt findes med følgende indhold:

BadBlock omdøber ikke dine filer.

Når BadBlock har krypteret dine filer, viser det en af disse meddelelser (fra en fil med navnet Help Decrypt.html):

Bart føjer .bart.zip til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.docx.bart.zip) Disse er krypterede ZIP-arkiver, der indeholder de originale filer.

Når Bart har krypteret dine filer, ændrer det din skrivebordsbaggrund til et billede som det herunder. Teksten på dette billede kan også bruges til at identificere Bart og gemmes på skrivebordet i filer med navnet recover.bmp og recover.txt.

Ransomwaren tilføjer følgende filtypenavn: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Ransomwaren opretter også en tekstfil kaldet "Read Me.txt" i hver mappe. Filens indhold vises nedenfor.

Krypterede filnavne vil have følgende format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Desuden kan én af følgende filer findes på pc'en
Key.dat på %USERPROFILE%\Desktop
1.bmp i %USERPROFILE%\AppData\Roaming
#_README_#.inf eller !#_DECRYPT_#!.inf i hver mappe med mindst én krypteret fil.

Efter dine filer er blevet krypteret, ændres skrivebordsbaggrunden til følgende:

Du vil muligvis også se én af følgende løsepengebeskeder:

Crypt888 tilføjer Lock. til starten af filnavne. (f.eks. Thesis.doc = Lock.Thesis.doc)

Når Crypt888 har krypteret dine filer, ændrer det din skrivebordsbaggrund til et af følgende:

Krypterede filer vil have et følgende filtypenavne: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl eller .MOLE.

Følgende filer findes muligvis på pc'en efter filkryptering:

Krypterede filer har mange forskellige filtypenavne, inkl.:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Når dine filer er krypteret, vises en af følgende meddelelser (se herunder). Meddelelsen findes i "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" eller "HOW TO DECRYPT YOUR DATA.txt" på brugerens skrivebord. Skrivebordsbaggrunden ændres også til ét af billederne herunder.

Ransomwaren føjer ordet "encrypTile" til et filnavn:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Denne ransomware opretter også fire nye filer på brugerens skrivebord. Navnene på disse filer er oversat – her er deres engelske versioner:

Hvis ransomwaren kører, forhindrer den aktivt brugeren i at køre nogen værktøjer, der potentielt kan fjerne den. Se blogindlægget for at få mere detaljerede instruktioner i, hvordan du kører dekrypteringen, i tilfælde af at ransomwaren kører på din pc.

Krypterede filer vil have filtypenavnet .crypt.

Når dine filer er krypteret, oprettes der flere filer på brugerens skrivebord med navnevariationer af: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. De er identiske og indeholder følgende tekstbesked:

Speciel: Eftersom AVAST-dekrypteringer er Windows-programmer, er det nødvendigt at installere et emulationslag på Mac (WINE, CrossOver). Få mere at vide ved at læse vores blogindlæg.

Krypterede filer vil have ét følgende filtypenavne:
.FONIX,
.XINOF

Efter at have krypteret filer på offerets computer, viser ransomwaren følgende skærm:

Ransomwaren tilføjer flere mulige filtypenavne:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (bogstaver er tilfældige)

Ransomware opretter også en tekstfil kaldet "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" eller "%RandomLetters%-MANUAL.txt" i hver mappe. Filens indhold vises nedenfor.

Senere versioner af ransomwaren kan også indstille følgende billede på brugerens skrivebord:

Globe føjer en af følgende filtypenavne til filnavnet: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" eller ".hnyear". Nogle af dens versioner krypterer desuden også filnavnet.

Når dine filer er blevet krypteret, vises en lignende meddelelse (den findes i en fil "How to restore files.hta" eller "Read Me Please.hta"):

Krypterede filer kan genkendes via filtypenavnet .[vote2024forjb@protonmail.com].encryptedJB. Og der tilføjes en fil kaldet read_me.html på brugerens skrivebord (se billedet nedenfor).

Krypterede filer vil have en af følgende filtypenavne (men ikke begrænset til): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Når filerne er krypteret, vises der en tekstfil (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) på brugerens skrivebord. Diverse varianter kan også vise en meddelelse om løsepenge:

Krypterede filer vil have et følgende filtypenavne: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org eller .gefickt.

Når dine filer er krypteret, vises et af skærmbillederne nedenfor:

Ransomwaren tilføjer filtypenavnet “.MyChemicalRomance4EVER” efter et filnavn:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Ransomwaren opretter også en tekstfil kaldet "UNLOCK_guiDE.txt" på brugerens skrivebord. Filens indhold vises nedenfor.

Legion føjer en variant af ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion eller .$centurion_legion@aol.com$.cbf til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Når Legion har krypteret dine filer, ændrer det din skrivebordsbaggrund og viser en pop op-besked som denne:

NoobCrypt ændrer ikke filnavne. Krypterede filer kan dog ikke åbnes med deres tilknyttede program.

Når dine filer er blevet krypteret, vises der en lignende meddelelse (den findes i en fil "ransomed.html" på brugerens skrivebord):

Krypterede filer kan genkendes ved én af disse filtypenavne:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Der tilføjes desuden en fil med en løsepengebesked på brugerens skrivebord med ét af disse navne:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Krypterede filer kan genkendes af én af disse udvidelser:
.mallox
.exploit
.architek
.brg
.carone

I hver mappe med mindst én krypteret fil er der også en løsepengebesked kaldet RECOVERY INFORMATION.txt (se billedet nedenfor).

Stampado føjer filtypenavnet .locked til de krypterede filer. Visse varianter krypterer også selve filnavnet, så det krypterede filnavn kan f.eks. se ud som document.docx.locked eller 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Efter krypteringen vises følgende skærmbillede:

SZFLocker føjer .szf til slutningen af filnavne. (f.eks. Thesis.doc = Thesis.doc.szf)

Når du prøver at åbne en krypteret fil, vises SZFLocker følgende meddelelse (på polsk):

Den seneste version af TeslaCrypt omdøber ikke dine filer.

Når TeslaCrypt har krypteret dine filer, viser den en variant af følgende meddelelse:

Krypterede filer vil have ét følgende filtypenavne:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Når dine filer er krypteret, oprettes der flere filer på brugerens skrivebord med navne som README1.txt til README10.txt. De er på forskellige sprog og indeholder denne tekst:

Brugerens skrivebordsbaggrund ændres også og ligner billedet nedenfor:

Ransomwaren føjer filtypenavnet ".~xdata~" til de krypterede filer.

I hver mappe med mindst én krypteret fil kan filen "HOW_CAN_I_DECRYPT_MY_FILES.txt" findes. Ransomwaren opretter desuden en nøglefil med et navn tilsvarende:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ i følgende mapper:

• C:\

• C:\ProgramData

• Skrivebord

Filen “HOW_CAN_I_DECRYPT_MY_FILES.txt” indeholder følgende løsepengebesked: