Die Ransomware fügt eine der folgenden Erweiterungen zu verschlüsselten Dateien hinzu:
.aes_ni
.aes256
.aes_ni_0day

In jedem Ordner mit mindestens einer verschlüsselten Datei kann die Datei „!!! READ THIS - IMPORTANT !!!.txt“ gefunden werden. Zusätzlich erstellt die Ransomware eine Schlüsseldatei mit einem ähnlichen Namen wie: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day im Ordner C:\ProgramData.

Die Datei „!!! READ THIS - IMPORTANT !!!.txt“ enthält die folgende Lösegeldforderung:

Verschlüsselte Dateien weisen die Erweiterung„.Alcatraz“ auf.

Nach der Verschlüsselung Ihrer Dateien wird eine Meldung ähnlich der folgenden angezeigt (die sich auf dem Desktop des Benutzers in der Datei „ransomed.html“ befindet):

Apocalypse fügt jedem Dateinamen die Dateiendungen .encrypted, .FuckYourData, .locked, .Encryptedfile oder .SecureCrypted hinzu. (Beispiel: Abschlussarbeit.doc = Abschlussarbeit.doc.locked)

Beim Öffnen einer Datei mit der Erweiterung .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt oder .Where_my_files.txt (z. B. Abschlussarbeit.doc.How_To_Decrypt.txt) wird eine Meldung ähnlich der folgenden angezeigt:

Verschlüsselte Dateien können über eine dieser Erweiterungen identifiziert werden:
.ATOMSILO
.lockfile

In jedem Ordner mit mindestens einer verschlüsselten Datei, befindet sich eine Ransom-Notizdatei namens README-FILE-%ComputerName%-%Nummer%.hta or LOCKFILE-README-%ComputerName%-%Nummer%.hta, z. B.:

• README-FILE-MAX_PC-1634717562.hta
• README-FILE-MAX_PC-1635095048.hta

Wenn Dateien verschlüsselt werden, fügt Babuk eine der folgenden Erweiterungen zum Dateinamen hinzu:
.babuk
.babyk
.doydo

In jedem Ordner mit mindestens einer verschlüsselten Datei kann die Datei Help Restore Your Files.txt mit dem folgenden Inhalt gefunden werden:

BadBlock benennt Ihre Dateien nicht um.

Nach dem Verschlüsseln Ihrer Dateien zeigt BadBlock eine der folgenden Meldungen (über eine Datei mit dem Namen Help Decrypt.html) an:

Bart fügt .bart.zip an das Ende von Dateinamen an (z. B. Abschlussarbeit.doc = Abschlussarbeit.docx.bart.zip). Dabei handelt es sich um verschlüsselte ZIP-Archive, die die ursprünglichen Dateien enthalten.

Nach dem Verschlüsseln Ihrer Dateien wird durch Bart Ihr Bildschirmhintergrund für den Desktop in ein Bild ähnlich dem unten abgebildeten geändert. Der Text auf diesem Bild kann ebenfalls zur Identifizierung von Bart verwendet werden. Die entsprechenden Dateien werden auf dem Desktop unter den Namen recover.bmp und recover.txt gespeichert.

Die Ransomware fügt die folgende Erweiterung hinzu: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Die Ransomware erstellt in jedem Ordner auch eine Textdatei mit der Bezeichnung „Read Me.txt“. Nachfolgend finden Sie den Inhalt der Datei.

Verschlüsselte Dateinamen haben das folgende Format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Darüber hinaus befindet sich auf dem PC eine der folgenden Dateien
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf or !#_DECRYPT_#!.inf in jedem Ordner mit mit mindestens einer verschlüsselten Datei.

Nach der Verschlüsselung Ihrer Dateien wird der Bildschirmhintergrund wie folgt geändert:

Sie können auch eine der folgenden Lösegeldforderungen sehen:

Crypt888 ändert jeden Dateinamen dahingehend, dass er mit Lock. beginnt. (Beispiel: Abschlussarbeit.doc = Abschlussarbeit.doc.locked)

Nachdem Crypt888 Ihre Dateien verschlüsselt hat, ändert es Ihren Desktophintergrund wie folgt:

Verschlüsselte Dateien weisen eine der folgenden Erweiterungen auf: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl oder .MOLE.

Nach der Dateiverschlüsselung kann auf dem PC Folgendes angezeigt werden:

Verschlüsselte Dateien weisen viele verschiedene Erweiterungen auf, darunter folgende:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Nachdem Ihre Dateien verschlüsselt wurden, wird eine der unten aufgeführten Meldungen angezeigt. Die Meldung befindet sich in „Decryption instructions.txt“, „Decryptions instructions.txt“, „README.txt“, „Readme to restore your files.txt“ oder "HOW TO DECRYPT YOUR DATA.txt" auf dem Desktop des Benutzers. Außerdem wird der Bildschirmhintergrund auf eines der folgenden Bilder geändert.

Die Ransomware fügt das Wort „encrypTile“ in einen Dateinamen ein:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Die Ransomware erstellt auch vier neue Dateien auf dem Desktop des Benutzers. Die Namen dieser Dateien sind sprachlich an den jeweiligen Markt angepasst. Hier sind ihre englischen Versionen:

Während der Ausführung verhindert die Ransomware aktiv, dass der Benutzer Tools ausführt, mit der sie möglicherweise entfernt werden könnten. Ausführliche Anweisungen zur Ausführung des Entschlüsselungsprogramms, falls die Ransomware auf Ihrem PC läuft, finden Sie im Blogbeitrag.

Verschlüsselte Dateien weisen die Erweiterung .crypt auf.

Nach der Verschlüsselung Ihrer Dateien werden auf dem Desktop des Benutzers mehrere Dateien mit Namensvarianten von: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Sie sind alle identisch und enthalten die folgende Textnachricht:

Besonderheit: Da es sich bei den AVAST-Entschlüsselungsprogrammen um Windows-Anwendungen handelt, ist es notwendig, eine Emulationsschicht auf dem Mac (WINE, CrossOver) zu installieren. Weitere Informationen finden Sie in unserem Blogbeitrag.

Verschlüsselte Dateien haben eine dieser Erweiterungen:
.FONIX,
.XINOF

Nach der Verschlüsselung der Dateien auf dem PC des Opfers, zeigt die Ransomware den folgenden Bildschirm:

Die Ransomware fügt mehrere mögliche Erweiterungen hinzu:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (letters are random)

Die Ransomware erstellt außerdem eine Textdatei namens „GDCB-DECRYPT.txt“, „CRAB-DECRYPT.txt“, „KRAB_DECRYPT.txt“, „%RandomLetters%-DECRYPT.txt“ oder „%RandomLetters%-MANUAL.txt“ in jedem Ordner. Nachfolgend finden Sie den Inhalt der Datei.

Spätere Versionen der Ransomware können auch das folgende Bild auf dem Desktop des Benutzers einstellen:

Globe fügt eine der folgenden Erweiterungen zum Dateinamen hinzu: „.ACRYPT“, „.GSupport[0-9]“, „.blackblock“, „.dll555“, „.duhust“, „.exploit“, „.frozen“, „.globe“, „.gsupport“, „.kyra“, „.purged“, „.raid[0-9]“, „.siri-down@india.com“, „.xtbl“, „.zendrz“, „.zendr[0-9]“ oder „.hnyear“. Darüber hinaus verschlüsseln einige Versionen auch den Dateinamen.

Nach dem Verschlüsseln Ihrer Dateien wird eine Meldung ähnlich der folgenden angezeigt (die sich in der Datei „How to restore files.hta“ oder „Read Me Please.hta“ befindet):

Verschlüsselte Dateien sind an der Dateierweiterung .[vote2024forjb@protonmail.com].encryptedJB zu erkennen. Außerdem wird eine Datei namens read_me.html auf dem Desktop des Benutzers abgelegt (siehe Abbildung unten).

Verschlüsselte Dateien können unter anderem eine der folgenden Erweiterungen aufweisen: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Nach dem Verschlüsseln der Dateien wird auf dem Desktop des Benutzers eine Textdatei (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) angezeigt. Bei verschiedenen Varianten kann auch eine Meldung zu einer Lösegeldforderung angezeigt werden:

Verschlüsselte Dateien weisen eine der folgenden Erweiterungen auf: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org oder .gefickt.

Nach der Verschlüsselung Ihrer Dateien wird eine der folgenden Meldungen angezeigt:

Die Ransomware fügt die Erweiterung „.MyChemicalRomance4EVER“ nach einem Dateinamen hinzu:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Die Ransomware erstellt auch eine Textdatei mit der Bezeichnung „UNLOCK_guiDE.txt“ auf dem Desktop des Benutzers. Nachfolgend finden Sie den Inhalt der Datei.

Legion fügt jedem Dateinamen eine Dateiendung wie ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion oder .$centurion_legion@aol.com$.cbf hinzu. (z. B. Abschlussarbeit.doc = Abschlussarbeit.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Nachdem Legion Ihre Dateien verschlüsselt hat, ändert es Ihren Desktophintergrund und zeigt ein Popup-Fenster wie dieses an:

NoobCrypt ändert keine Dateinamen. Verschlüsselte Dateien können jedoch nicht mit der zugewiesenen Anwendung geöffnet werden.

Nach dem Verschlüsseln Ihrer Dateien wird eine Meldung ähnlich der folgenden angezeigt (die sich auf dem Desktop des Benutzers in der Datei „ransomed.html‏‏“ befindet):

Verschlüsselte Dateien können über eine dieser Dateierweiterungen identifiziert werden:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Außerdem wird eine Ransom-Notiz mit einem der folgenden Namen auf dem Desktop des Benutzers abgelegt:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Verschlüsselte Dateien können über eine dieser Erweiterungen identifiziert werden:
.mallox
.exploit
.architek
.brg
.carone

In jedem Ordner mit mindestens einer verschlüsselten Datei befindet sich auch eine Ransom-Notiz namens RECOVERY INFORMATION.txt (siehe Abbildung unten).

Stampado fügt verschlüsselten Dateien die Erweiterung „.locked“ hinzu. Einige Varianten verschlüsseln auch den Dateinamen selbst, sodass der Dateiname in zwei Formaten erscheinen kann: document.docx.locked oder 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Nach Abschluss der Verschlüsselung wird der folgende Bildschirm eingeblendet:

SZFLocker jeder Datei die Dateiendung .szf hinzu. (Beispiel: Abschlussarbeit.doc = Abschlussarbeit.doc.szf).

Wenn Sie versuchen, eine verschlüsselte Datei zu öffnen, zeigt SZFLocker die folgende Meldung (auf Polnisch) an:

Die neueste Version von TeslaCrypt benennt Ihre Dateien nicht um.

Nachdem Ihre Dateien durch TeslaCrypt verschlüsselt wurden, wird eine Fehlermeldung wie diese angezeigt:

Verschlüsselte Dateien haben eine dieser Erweiterungen:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Nach der Verschlüsselung Ihrer Dateien, werden auf dem Desktop des Benutzers mehrere Dateien mit Namensvarianten von README1.txt bis README10.txt erstellt. Diese sind in verschiedenen Sprachen verfasst und enthalten diesen Text:

Außerdem wird der Desktop-Hintergrund auf das folgende Bild geändert:

Die Ransomware fügt verschlüsselten Dateien die Erweiterung „.~xdata~“ hinzu.

In jedem Ordner mit mindestens einer verschlüsselten Datei kann die Datei „HOW_CAN_I_DECRYPT_MY_FILES.txt“ gefunden werden. Zusätzlich erstellt die Ransomware eine Schlüsseldatei mit einem ähnlichen Namen wie:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ in den folgenden Ordnern:

• C:\

• C:\ProgramData

• Desktop

Die Datei „HOW_CAN_I_DECRYPT_MY_FILES.txt“ enthält die Lösegeldforderung: