El ransomware añade una de las siguientes extensiones a los archivos cifrados:
.aes_ni
.aes256
.aes_ni_0day

En cada carpeta con al menos un archivo cifrado puede encontrarse el archivo «!!! READ THIS - IMPORTANT !!!.txt». Además, el ransomware crea un archivo de clave con un nombre parecido a: [NOMBRE_DEL_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day en la carpeta C:\ProgramData.

El archivo «!!! READ THIS - IMPORTANT !!!.txt» contiene la siguiente nota de rescate:

Los archivos cifrados tienen la extensión .Alcatraz.

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo «ransomed.html» en el escritorio del usuario):

Apocalypse agrega .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted al final de los nombres de archivo. (por ejemplo, Tesis.doc se convierte en Tesis.doc.locked)

Al abrir un archivo con la extensión .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt o .Where_my_files.txt (por ejemplo, Tesis.doc.How_To_Decrypt.txt), se mostrará una variante de este mensaje:

Los archivos cifrados se reconocen por una de estas dos extensiones:
.ATOMSILO
.lockfile

En cada carpeta con al menos un archivo cifrado, también hay un archivo, con una nota de rescate, llamado README-FILE-%ComputerName%-%Number%.hta o LOCKFILE-README-%ComputerName%-%Number%.hta, p. ej.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Al cifrar el archivo, Babuk añade una de las siguientes extensiones al nombre:
.babuk
.babyk
.doydo

En cada carpeta con al menos un archivo cifrado, puede encontrarse el archivo Help Restore Your Files.txt con el contenido siguiente:

BadBlock no cambia el nombre de sus archivos.

Después de cifrar sus archivos, BadBlock muestra uno de estos mensajes (desde un archivo llamado Help Decrypt.html):

Bart agrega .bart.zip al final de los nombres de archivo (por ejemplo, Thesis.doc se convierte en Thesis.doc.bart.zip). Es decir, se cifran en formato ZIP con los archivos originales.

Después de cifrar los archivos, Bart cambia el fondo de pantalla del escritorio por una imagen como la siguiente. El texto de esta imagen también sirve para identificar a Bart y se almacena en el escritorio en los archivos «recover.bmp» y «recover.txt».

El ransomware añade la siguiente extensión: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

El ransomware también crea un archivo de texto llamado «Read Me.txt» en cada carpeta. El contenido del archivo se muestra abajo.

El nombre de los archivos cifrados tiene el formato siguiente:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Además, en el PC puede encontrarse uno de los archivos siguientes
Key.dat en %USERPROFILE%\Desktop
1.bmp en %USERPROFILE%\AppData\Roaming
#_README_#.inf o !#_DECRYPT_#!.inf en cada carpeta con al menos un archivo cifrado.

Después de cifrarse los archivos, en el fondo de pantalla del escritorio aparece lo siguiente:

También puede ver una de las siguientes notas de rescate:

Crypt888 agrega Lock. al principio de los nombres de archivo. (por ejemplo, Tesis.doc se convierte en Lock.Tesis.doc)

Después de cifrar los archivos, Crypt888 cambia el fondo de pantalla del escritorio a uno de los siguientes:

Los archivos cifrados tendrán una de las siguientes extensiones: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl o .MOLE.

Después del cifrado de archivos, pueden encontrarse en el PC los siguientes archivos:

Los archivos cifrados pueden tener varias extensiones, como:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Después de cifrar los archivos, se muestra uno de los mensajes siguientes (ver más abajo). El mensaje se encuentra en «Decryption instructions.txt», «Decryptions instructions.txt», «README.txt», «Readme to restore your files.txt» o «HOW TO DECRYPT YOUR DATA.txt» en el escritorio del usuario. Además, en el fondo de pantalla del escritorio aparece una de las imágenes siguientes.

El ransomware añade la palabra «encrypTile» al nombre de un archivo:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

También crea cuatro archivos nuevos en el escritorio del usuario. El nombre de estos archivos está traducido. Estas son las versiones en inglés:

Mientras se ejecuta, el ransomware evita activamente que el usuario ejecute ninguna herramienta que pudiera, potencialmente, eliminarlo. Consulte la publicación del blog para obtener instrucciones más detalladas sobre cómo se ejecuta el descifrador en caso de que el ransomware se esté ejecutando en su PC.

Los archivos cifrados tienen la extensión .crypt.

Tras cifrar sus archivos, se crean diversos archivos en el escritorio del usuario con variaciones de los siguientes nombres: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Todos son idénticos y contienen el siguiente mensaje de texto:

Especial: Como los descifradores de AVAST son aplicaciones Windows, en Mac es necesario instalar una capa de emulación (WINE, CrossOver). Para obtener más información lea nuestra publicación en el post.

Los archivos cifrados tendrán una de las siguientes extensiones:
.FONIX,
.XINOF

Después de cifrar los archivos del equipo de la víctima, el ransomware muestra esta pantalla:

El ransomware añade alguna de estas extensiones:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (las letras son aleatorias)

El ransomware también crea un archivo de texto llamado «GDCB-DECRYPT.txt», «CRAB-DECRYPT.txt», «KRAB_DECRYPT.txt», «%RandomLetters%-DECRYPT.txt» o «%RandomLetters%-MANUAL.txt» en cada carpeta. El contenido del archivo se muestra abajo.

Versiones posteriores del ransomware también pueden establecer la siguiente imagen en el escritorio del usuario:

Globe agrega una de las extensiones siguientes al nombre de archivo: «.ACRYPT», «.GSupport[0-9]», «.blackblock», «.dll555», «.duhust», «.exploit», «.frozen», «.globe», «.gsupport», «.kyra», «.purged», «.raid[0-9]», «.siri-down@india.com», «.xtbl», «.zendrz», «.zendr[0-9]» o «.hnyear». Además, algunas de sus versiones también cifran el nombre de archivo.

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en un archivo llamado «How to restore files.hta» o «Read Me Please.hta»):

Los archivos cifrados pueden reconocerse por la extensión de archivo .[vote2024forjb@protonmail.com].encryptedJB. Además, se coloca un archivo llamado read_me.html en el escritorio del usuario (véase la imagen siguiente).

Los archivos cifrados tendrán una de las siguientes extensiones (aunque sin limitarse a ellas): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Después de cifrar archivos, aparece en el escritorio del usuario un archivo de texto (READ_IT.txt MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diversas variantes también pueden mostrar un mensaje de rescate:

Los archivos cifrados tendrán una de las siguientes extensiones: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org o .gefickt.

Después de cifrar los archivos, aparecerá una de las siguientes pantallas:

El ransomware añade la extensión «.MyChemicalRomance4EVER» tras el nombre de un archivo:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

El ransomware también crea un archivo de texto llamado «UNLOCK_guiDE.txt» en el escritorio del usuario. El contenido del archivo se muestra abajo.

Legion agrega una variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf al final de los nombres de archivo. (por ejemplo, Thesis.doc se convierte en Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Después de cifrar los archivos, Legion cambia el fondo de pantalla del escritorio y muestra un mensaje emergente parecido a este:

NoobCrypt no cambia los nombres de archivo. Sin embargo, los archivos cifrados no se pueden abrir con la aplicación asociada.

Después de cifrar los archivos, se muestra un mensaje parecido (se encuentra en el archivo «ransomed.html» en el escritorio del usuario):

Los archivos cifrados se reconocen por una de estas extensiones:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Además, se coloca un archivo con una nota de rescate en el escritorio del usuario con uno de estos nombres:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Los archivos cifrados se reconocen por una de estas dos extensiones:
.mallox
.exploit
.architek
.brg
.carone

En cada carpeta con al menos un archivo cifrado, también hay un archivo con una nota de rescate, llamado RECOVERY INFORMATION.txt (vea la imagen de abajo).

Stampado agrega la extensión .locked a los archivos cifrados. Algunas variantes también cifran el propio nombre de archivo, por lo que el nombre del archivo cifrado puede aparecer, por ejemplo, como document.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Una vez completado el cifrado, aparecerá la siguiente pantalla:

SZFLocker agrega .szf al final de los nombres de archivo. (por ejemplo, Tesis.doc se convierte en Tesis.doc.szf)

Al intentar abrir un archivo cifrado, SZFLocker muestra el mensaje siguiente (en polaco):

La versión más reciente de TeslaCrypt no cambia el nombre de los archivos.

Después de cifrar los archivos, TeslaCrypt muestra una variante del mensaje siguiente:

Los archivos cifrados tendrán una de las siguientes extensiones:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Tras cifrar sus archivos, se crean varios archivos en el escritorio del usuario, con el nombre README1.txt a README10.txt. Están en diferentes idiomas y contienen este texto:

También se cambia el fondo de pantalla del usuario por uno con este aspecto:

El ransomware agrega la extensión «.~xdata~» a los archivos cifrados.

En cada carpeta con al menos un archivo cifrado puede encontrarse el archivo «HOW_CAN_I_DECRYPT_MY_FILES.txt». Además, el ransomware crea un archivo de clave con un nombre parecido a:

[NOMBRE_DEL_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ en las carpetas siguientes:

• C:\

• C:\ProgramData

• Escritorio

El archivo «HOW_CAN_I_DECRYPT_MY_FILES.txt» contiene la siguiente nota de rescate: