Το ransomware προσθέτει μια από τις ακόλουθες επεκτάσεις στα κρυπτογραφημένα αρχεία:
.aes_ni
.aes256
.aes_ni_0day

Σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο, το αρχείο «!!! READ THIS - IMPORTANT!!!.txt» μπορεί να βρεθεί. Επιπλέον, το ransomware δημιουργεί ένα βασικό αρχείο με όνομα παρόμοιο με το: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day στον φάκελο C:\ProgramData.

Το αρχείο «!!! READ THIS - IMPORTANT !!!.txt» περιέχει την παρακάτω σημείωση για τα λύτρα:

Τα κρυπτογραφημένα αρχεία έχουν την επέκταση «.Alcatraz».

Μετά την κρυπτογράφηση των αρχείων, εμφανίζεται ένα παρόμοιο μήνυμα (βρίσκεται σε ένα αρχείο με το όνομα «ransomed.html» στην επιφάνεια εργασίας του χρήστη):

Το Apocalypse προσθέτει τις επεκτάσεις .encrypted, .FuckYourData, .locked, .Encryptedfile, ή .SecureCrypted στο τέλος των ονομάτων αρχείων. (π.χ. Thesis.doc = Thesis.doc.locked)

Με το άνοιγμα ενός αρχείου με την επέκταση .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt, ή .Where_my_files.txt (π.χ. Thesis.doc.How_To_Decrypt.txt) εμφανίζεται μια παραλλαγή αυτού του μηνύματος:

Τα κρυπτογραφημένα αρχεία μπορούν να αναγνωριστούν από μία από τις παρακάτω επεκτάσεις:
.ATOMSILO
.lockfile

Σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο, υπάρχει επίσης ένα αρχείο σημειώσεων λύτρων που ονομάζεται README-FILE-%ComputerName%-%Number%.hta ή LOCKFILE-README-%ComputerName%-%Number%.hta, π.χ.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Κατά την κρυπτογράφηση του αρχείου, το Babuk προσθέτει μια από τις ακόλουθες επεκτάσεις στο όνομα του αρχείου:
.babuk
.babyk
.doydo

Σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο, μπορεί να βρεθεί το αρχείο Help Restore Your Files.txt με το ακόλουθο περιεχόμενο:

Το BadBlock δεν αλλάζει τα ονόματα των αρχείων σας.

Μετά την κρυπτογράφηση των αρχείων, το BadBlock εμφανίζει ένα από αυτά τα μηνύματα (από ένα αρχείο με το όνομα Help Decrypt.html):

Το Bart προσθέτει την επέκταση .bart.zip στο τέλος των ονομάτων αρχείων. (π.χ. Thesis.doc = Thesis.docx.bart.zip) Αυτά είναι κρυπτογραφημένη αρχεία ZIP που περιέχουν τα αρχικά αρχεία.

Μετά την κρυπτογράφηση των αρχείων, το Bart αλλάζει την ταπετσαρία της επιφάνειας εργασίας σας σε μια εικόνα όπως η παρακάτω. Το κείμενο σε αυτήν την εικόνα μπορεί επίσης να βοηθήσει στον εντοπισμό του Bart και αποθηκεύεται στην επιφάνεια εργασίας σε αρχεία με το όνομα recover.bmp και recover.txt.

Το ransomware προσθέτει την ακόλουθη επέκταση: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Το ransomware δημιουργεί επίσης ένα αρχείο κειμένου που ονομάζεται "Read Me.txt" σε κάθε φάκελο. Το περιεχόμενο του αρχείου φαίνεται παρακάτω.

Τα κρυπτογραφημένα ονόματα αρχείων θα έχουν μία από τις παρακάτω μορφές:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Επιπλέον, μπορεί να βρεθεί στον υπολογιστή ένα από τα παρακάτω αρχεία:
Key.dat στο %USERPROFILE%\Desktop
1.bmp στο %USERPROFILE%\AppData\Roaming
#_README_#.inf ή !#_DECRYPT_#!.inf σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο.

Μετά την κρυπτογράφηση των αρχείων, η ταπετσαρία στην επιφάνεια εργασίας αλλάζει σε μία από τις παρακάτω:

Μπορεί επίσης να δείτε μία από τις παρακάτω σημειώσεις λύτρων:

Το Crypt888 προσθέτει το Lock. Στην αρχή των ονομάτων αρχείων. (π.χ. Thesis.doc = Lock.Thesis.doc)

Μετά την κρυπτογράφηση των αρχείων, το Crypt888 αλλάζει την ταπετσαρία της επιφάνειας εργασίας σας σε μία από τις παρακάτω:

Τα κρυπτογραφημένα αρχεία έχουν μία από τις παρακάτω επεκτάσεις: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl ή .MOLE.

Τα ακόλουθα αρχεία μπορεί να βρίσκονται στον υπολογιστή μετά την κρυπτογράφηση αρχείων:

Τα κρυπτογραφημένα αρχεία έχουν διάφορες επεκτάσεις, συμπεριλαμβανομένων των ακόλουθων:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Μετά την κρυπτογράφηση των αρχείων, εμφανίζεται ένα από τα ακόλουθα μηνύματα (δείτε παρακάτω). Το μήνυμα βρίσκεται στο «Decryption instructions.txt», «Decryptions instructions.txt», «README.txt», «Readme to restore your files.txt» ή στο «HOW TO DECRYPT YOUR DATA.txt» στην επιφάνεια εργασίας του χρήστη. Επίσης, το φόντο της επιφάνειας εργασίας αλλάζει σε μία από τις παρακάτω εικόνες.

Το ransomware προσθέτει τη λέξη «encrypTile» σε ένα όνομα αρχείου:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Το ransomware δημιουργεί επίσης τέσσερα νέα αρχεία στην επιφάνεια εργασίας του χρήστη. Τα ονόματα αυτών των αρχείων αλλάζουν ανά χώρα, εδώ όμως βλέπετε τις αγγλικές τους εκδόσεις:

Ενόσω εκτελείται, το ransomware εμποδίζει ενεργά τον χρήστη να χρησιμοποιεί όποια εργαλεία μπορεί να το αφαιρέσουν. Ανατρέξτε στην ανάρτηση του blog για πιο αναλυτικές οδηγίες σχετικά με τον τρόπο λειτουργίας του αποκρυπτογράφου σε περίπτωση που υπάρχει το ransomware στον υπολογιστή σας.

Τα κρυπτογραφημένα αρχεία έχουν την επέκταση .crypt.

Μετά την κρυπτογράφηση των αρχείων σας, δημιουργούνται πολλά αρχεία στην επιφάνεια εργασίας του χρήστη, με παραλλαγές ονόματος του: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Όλα είναι όμοια και περιέχουν το ακόλουθο μήνυμα κειμένου:

Ειδικότερα: Επειδή οι αποκρυπτογράφοι AVAST είναι εφαρμογές για Windows, είναι απαραίτητο να εγκαταστήσετε στον Mac ένα επίπεδο εξομοίωσης (WINE, CrossOver). Για περισσότερες πληροφορίες, διαβάστε την ανάρτηση του blog.

Τα κρυπτογραφημένα αρχεία θα έχουν μία από τις παρακάτω επεκτάσεις:
.FONIX,
.XINOF

Μετά την κρυπτογράφηση των αρχείων στο μηχάνημα του θύματος, το ransomware εμφανίζει την παρακάτω οθόνη:

Το ransomware προσθέτει πολυάριθμες δυνατές επεκτάσεις:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (letters are random)

Το ransomware δημιουργεί επίσης ένα αρχείο κειμένου που ονομάζεται «GDCB-DECRYPT.txt», «CRAB-DECRYPT.txt», «KRAB_DECRYPT.txt», «%RandomLetters%-DECRYPT.txt» ή «%RandomLetters%-MANUAL.txt» σε κάθε φάκελο. Το περιεχόμενο του αρχείου φαίνεται παρακάτω.

Οι πιο πρόσφατες εκδόσεις του ransomware μπορούν επίσης να εμφανίσουν την ακόλουθη εικόνα στην επιφάνεια εργασίας του χρήστη:

Το Globe προσθέτει μια από τις ακόλουθες επεκτάσεις στο όνομα του αρχείου: «.ACRYPT», «.GSupport», «.blackblock», «.dll555», «.duhust», «.exploit», ".frozen", «.globe», «.gsupport», «.kyra», «.purged», «.raid», «.siri-down@india.com», «.xtbl», «.zendrz», «.zendr», or «.hnyear». Επιπλέον, κάποιες εκδόσεις του κρυπτογραφούν και το όνομα του αρχείου.

Μετά την κρυπτογράφηση των αρχείων σας, εμφανίζεται ένα παρόμοιο μήνυμα (βρίσκεται σε ένα αρχείο με το όνομα «How to restore files.hta» ή «Read Me Please.hta»):

Τα κρυπτογραφημένα αρχεία μπορούν να αναγνωριστούν από την επέκταση αρχείου .[vote2024forjb@protonmail.com].encryptedJB. Επίσης, ένα αρχείο με το όνομα read_me.html εμφανίζεται στην επιφάνεια εργασίας του χρήστη (δείτε την παρακάτω εικόνα).

Τα κρυπτογραφημένα αρχεία έχουν (αλλά όχι αποκλειστικά) μία από τις παρακάτω επεκτάσεις: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Μετά την κρυπτογράφηση των αρχείων, εμφανίζεται ένα αρχείο κειμένου (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) στην επιφάνεια εργασίας του χρήστη. Διάφορες παραλλαγές μπορεί επίσης να εμφανιστούν σε ένα μήνυμα λύτρων:

Τα κρυπτογραφημένα αρχεία έχουν μία από τις παρακάτω επεκτάσεις: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, or .gefickt.

Μετά την κρυπτογράφηση των αρχείων, εμφανίζεται μία από τις ακόλουθες οθόνες:

Το ransomware προσθέτει την επέκταση «.MyChemicalRomance4EVER» μετά από το όνομα αρχείου:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Επίσης, το ransomware δημιουργεί ένα αρχείο κειμένου που ονομάζεται «UNLOCK_guiDE.txt» στην επιφάνεια εργασίας του χρήστη. Το περιεχόμενο του αρχείου φαίνεται παρακάτω.

To Legion προσθέτει την μεταβλητή ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion or .$centurion_legion@aol.com$.cbf στο τέλος των ονομάτων αρχείων. (π.χ. Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Μετά την κρυπτογράφηση των αρχείων, το Legion αλλάζει την ταπετσαρία της επιφάνειας εργασίας σας και εμφανίζει ένα αναδυόμενο παράθυρο, όπως το παρακάτω:

Το NoobCrypt δεν αλλάζει το όνομα του αρχείου. Ωστόσο, δεν είναι δυνατό το άνοιγμα των κρυπτογραφημένων αρχείων με τη συσχετισμένη εφαρμογή τους.

Μετά την κρυπτογράφηση των αρχείων, εμφανίζεται ένα παρόμοιο μήνυμα (βρίσκεται σε ένα αρχείο με το όνομα «ransomed.html» στην επιφάνεια εργασίας του χρήστη):

Τα κρυπτογραφημένα αρχεία μπορούν να αναγνωριστούν από μία από τις παρακάτω επεκτάσεις αρχείου:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Επίσης, ένα αρχείο-σημείωση για τα λύτρα εμφανίζεται στην επιφάνεια εργασίας του χρήστη με ένα από τα εξής ονόματα:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Τα κρυπτογραφημένα αρχεία μπορούν να αναγνωριστούν από μία από τις παρακάτω επεκτάσεις:
.mallox
.exploit
.architek
.brg
.carone

Σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο, υπάρχει επίσης ένα αρχείο σημειώσεων λύτρων που ονομάζεται RECOVERY INFORMATION.txt (δείτε την παρακάτω εικόνα).

Το Stampado προσθέτει στο όνομα αρχείου την επέκταση .locked. Ορισμένες παραλλαγές κρυπτογραφούν και το ίδιο το όνομα του αρχείου, οπότε το κρυπτογραφημένο όνομα αρχείου μπορεί να φαίνονται ως document.docx.locked ή ως 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Μόλις ολοκληρωθεί η κρυπτογράφηση, θα εμφανιστεί η ακόλουθη οθόνη:

Το SZFLocker προσθέτει την επέκταση .szf στο τέλος των ονομάτων αρχείων. (π.χ. Thesis.doc = Lock.Thesis.doc)

Όταν προσπαθήσετε να ανοίξετε ένα κρυπτογραφημένο αρχείο, το SZFLocker εμφανίζει το ακόλουθο μήνυμα (στα πολωνικά):

Η πιο πρόσφατη έκδοση του TeslaCrypt δεν αλλάζει τα ονόματα των αρχείων σας.

Μετά την κρυπτογράφηση των αρχείων σας, το TeslaCrypt εμφανίζει μια παραλλαγή του ακόλουθου μηνύματος:

Τα κρυπτογραφημένα αρχεία θα έχουν μία από τις παρακάτω επεκτάσεις:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Μετά την κρυπτογράφηση των αρχείων σας, δημιουργούνται πολλά αρχεία στην επιφάνεια εργασίας του χρήστη, με την ονομασία README1.txt to README10.txt. Είναι σε διαφορετικές γλώσσες που περιέχουν αυτό το κείμενο:

Επίσης, το φόντο της επιφάνειας εργασίας αλλάζει σε μία από τις παρακάτω εικόνες:

Το ransomware προσθέτει την επέκταση «.~xdata~» στα κρυπτογραφημένα αρχεία.

Σε κάθε φάκελο με ένα τουλάχιστον κρυπτογραφημένο αρχείο, μπορεί να βρεθεί το αρχείο «HOW_CAN_I_DECRYPT_MY_FILES.txt». Επιπλέον, το ransomware δημιουργεί ένα βασικό αρχείο με όνομα παρόμοιο με το:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ στους παρακάτω φακέλους:

• C:\

• C:\ProgramData

• Επιφάνεια εργασίας

Το αρχείο «HOW_CAN_I_DECRYPT_MY_FILES.txt» περιέχει την παρακάτω σημείωση για τα λύτρα: