रैंसमवेयर एन्क्रिप्ट की गई फ़ाइलों में निम्नलिखित एक्सटेंशन में से एक को जोड़ता है:
.aes_ni
.aes256
.aes_ni_0day

एन्क्रिप्ट की गई कम से कम एक फ़ाइल वाले प्रत्येक फ़ोल्डर में, फ़ाइल "!!! READ THIS - IMPORTANT !!!.txt" पाई जा सकती है. इसके अतिरिक्त, रैंसमवेयर निम्नलिखित नाम के जैसी एक कुंजी फ़ाइल बनाता है: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

फ़ाइल "!!! READ THIS - IMPORTANT !!!.txt" में निम्नलिखित रैंनसम नोट शामिल है:

एन्क्रिप्ट की हुई फ़ाइलों का एक्सटेंशन ".Alcatraz" होता है.

अपनी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, समान संदेश प्रदर्शित होता है (यह उपयोगकर्ता के डेस्कटॉप में "ransomed.html" फ़ाइल में स्थित होता है):

Apocalypse फ़ाइल नाम के अंत में .encrypted, FuckYourData, locked, Encryptedfile या singapor SecureCrypted जोड़ता है. (उदाहरण के लिए, Thesis.doc = Thesis.doc.locked)

एक्सटेंशन वाली फ़ाइल खोलना. How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt,या .Where_my_files.txt (e.g., Thesis.doc.How_To_Decrypt.txt) इस संदेश के वेरिएंट प्रदर्शित करेंगे:

एन्क्रिप्ट की गई फ़ाइलों की इन एक्सटेंशन में से किसी एक के द्वारा पहचान की जा सकती है:
.ATOMSILO
.lockfile

कम से कम एक एन्क्रिप्ट की गई फ़ाइल के साथ प्रत्येक फ़ोल्डर में, README-FILE-%ComputerName%-%Number%.hta या LOCKFILE-README-%ComputerName%-%Number%.hta, नाम की रैंसम नोट फ़ाइल भी होती है, उदाहरण के लिए:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

फ़ाइल को एन्क्रिप्ट करते समय, बाबुक फ़ाइल नाम में नीचे दी गई एक्सटेंशन में से एक जोड़ता है:
babuk
.babyk
doydo

कम से कम एक एन्क्रिप्टेड फ़ाइल वाले प्रत्येक फ़ोल्डर में, Help Restore Your Files txt फ़ाइल को नीचे दी गई विषय-वस्तु सहित पाया जा सकता है:

BadBlock आपकी फ़ाइलों का नाम नहीं बदलता है.

आपकी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, BadBlock इनमें से एक संदेश प्रदर्शित करता है (Help Decrypt.html नामक फ़ाइल से):

Bart फ़ाइल नाम के अंत में .bart.zip जोड़ता है. (उदाहरण के लिए, Thesis.doc = Thesis.docx.bart.zip) ये एन्क्रिप्ट किए गए ज़िप संग्रह हैं, जिनमें मूल फ़ाइलें हैं.

आपकी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, Bart आपके डेस्कटॉप के वॉलपेपर को नीचे दी गई एक छवि के रूप में बदलता है. इस छवि में दिए गए पाठ का उपयोग Bart की पहचान में सहायता करने के लिए भी उपयोग किया जा सकता है और इसे डेस्कटॉप पर recover.bmp और recover.txt नामक फ़ाइलों पर संग्रहीत किया जाता है.

रैंसमवेयर निम्नलिखित एक्सटेंशन जोड़ता है: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

रैंसमवेयर प्रत्येक फ़ोल्डर में "Read Me.txt" नामक एक टेक्स्ट फ़ाइल भी बनाता है. फ़ाइल की विषय वस्तु नीचे दी गई है.

एन्क्रिप्ट की गई फ़ाइल नामों में निम्नलिखित प्रारूप होंगे:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

इसके अलावा, निम्न फ़ाइलों में से एक को PC पर पाया जा सकता है
%USERPROFILE%\Desktop पर Key.dat
%USERPROFILE%\AppData\Roaming में 1.bmp
प्रत्येक फ़ोल्डर में कम से कम एक एन्क्रिप्टेड फ़ाइल के साथ #_README_#.inf या !#_DECRYPT_#!.inf.

अपनी फ़ाइलों को एन्क्रिप्ट करने के बाद, डेस्कटॉप वॉलपेपर को निम्नलिखित में बदल दिया जाता है:

आप निम्नलिखित रैनसम नोट्स में से एक को देख सकते हैं:

Crypt888 फ़ाइल नाम की शुरुआत में लॉक. जोड़ता है. (जैसे, Thesis.doc = Lock.Thesis.doc)

आपकी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, Crypt888 आपके डेस्कटॉप के वॉलपेपर को नीचे दी गई एक छवि के रूप में बदलता है:

एन्क्रिप्ट की गई फ़ाइलों में निम्न में से कोई एक एक्सटेंशन होगा: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl या .MOLE.

फ़ाइलों को एन्क्रिप्ट किए जाने के बाद निम्न फ़ाइलों को PC पर पाया जा सकता है:

एन्क्रिप्ट की हुई फ़ाइलों में अनेक प्रकार के एक्सटेंशन होते हैं, जिनमें निम्न शामिल हैं:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

आपकी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, निम्नलिखित में से एक संदेश प्रदर्शित होगा (नीचे देखें). संदेश उपयोगकर्ता के डेस्कटॉप पर "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" या "HOW TO DECRYPT YOUR DATA.txt" में स्थित है. इसके अलावा, डेस्कटॉप पृष्ठभूमि नीचे दी गई तस्वीरों में से एक में बदल जाती है.

रैंसमवेयर "encrypTile" शब्द को फ़ाइल नाम में जोड़ता है:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

रैंसमवेयर उपयोगकर्ता के डेस्कटॉप पर चार नई फाइलें भी बनाता है. इन फ़ाइलों के नाम स्थानीयकृत होते हैं, यहाँ उनके अंग्रेजी संस्करण हैं:

चलाते समय, रैंसमवेयर सक्रिय रूप से उपयोगकर्ता को ऐसे किसी भी टूल को चलाने से रोकता है जो संभवतः इसे हटा सकता है. यदि आपके PC पर रैंसमवेयर चल रहा हो, तो डिक्रिप्टर को चलाने के तरीके के बारे में अधिक विस्तृत निर्देशों के लिए ब्लॉग पोस्ट देखें.

एन्क्रिप्ट की हुई फ़ाइलों का एक्सटेंशन .crypt होगा.

आपकी फ़ाइलों को एन्क्रिप्ट करने के बाद, उपयोगकर्ता के डेस्कटॉप पर कई फाइलें बनाई जाती हैं, जिनका नाम वेरिएंट निम्न होता है: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. वे सभी समान होती हैं, जिनमें निम्नलिखित टेक्स्ट संदेश होता है:

विशेष: क्योंकि AVAST के डिक्रिप्टर Windows की ऐप्लिकेशन हैं, Mac (WINE, CrossOver) पर एक इम्यूलेशन लेयर स्थापित करना आवश्यक है. अधिक जानकारी के लिए, कृपया हमारे ब्लॉग पोस्ट को पढ़ें.

एन्क्रिप्ट की गई फ़ाइलों में इनमें से एक एक्सटेंशन होगा:
.FONIX,
.XINOF

विक्टिम मशीन पर फ़ाइलों को एन्क्रिप्ट करने के बाद, रैंसमवेयर नीचे दिया गया स्क्रीन दिखाता है:

रैंसमवेयर कई संभावित एक्सटेंशन जोड़ता है:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (अक्षर यादृच्छिक हैं)

रैंसमवेयर प्रत्येक फ़ोल्डर में "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" or "%RandomLetters%-MANUAL.txt" नामक टेक्स्ट फ़ाइल भी बनाता है. फ़ाइल की विषय वस्तु नीचे दी गई है.

रैंसमवेयर के बाद के संस्करण भी उपयोगकर्ता के डेस्कटॉप पर निम्नलिखित छवि सेट कर सकते हैं:

Globe फ़ाइल नाम में निम्नलिखित में से एक एक्सटेंशन जोड़ता है: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", or ".hnyear". इसके अलावा, इसके कुछ संस्करण फ़ाइल नाम को भी एन्क्रिप्ट करते हैं.

आपकी फ़ाइलों को एन्क्रिप्ट करने के बाद, समान संदेश प्रदर्शित होता है (यह "How to restore files.hta" या "Read Me Please.hta" फ़ाइल में स्थित होता है):

एन्क्रिप्ट की गई फ़ाइलों को [vote2024forjb@protonmail.com].encryptedJB फ़ाइल एक्सटेंशन द्वारा पहचाना जा सकता है. साथ ही, एक read_me.html नाम वाली फ़ाइल को यूज़र के डेस्कटॉप पर छोड़ दिया जाता है (नीचे दी गई छवि देखें).

एन्क्रिप्ट की गई फ़ाइलों में निम्न में से कोई एक एक्सटेंशन होगा (लेकिन इसी तक सीमित नहीं): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

फ़ाइलें एन्क्रिप्ट करने के बाद, एक पाठ फ़ाइल (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) उपयोगकर्ता के डेस्कटॉप पर दिखाई देती है. विविध रूप एक रैंनसम संदेश भी दिखा सकते हैं:

एन्क्रिप्ट की गई फ़ाइलों में निम्न में से कोई एक एक्सटेंशन होगा: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, या .gefickt.

आपकी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, नीचे दी गई स्क्रीन में से कोई एक प्रदर्शित होगी:

रैंसमवेयर एक फ़ाइल नाम के बाद ".MyChemicalRomance4EVER" एक्सटेंशन जोड़ता है:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

रैंसमवेयर उपयोगकर्ता के डेस्कटॉप पर "UNLOCK_guiDE.txt" नामक एक टेक्स्ट फ़ाइल भी बनाता है. फ़ाइल की विषय वस्तु नीचे दी गई है.

Legion फ़ाइल नाम के अंत में ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion या .$centurion_legion@aol.com$.cbf के वेरिएंट जोड़ता है. (उदाहरण के लिए, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

आपकी फ़ाइलों को एन्क्रिप्ट करने के बाद, Legion आपके डेस्कटॉप के वॉलपेपर को बदलता है और इस प्रकार का पॉपअप प्रदर्शित करता है:

NoobCrypt फ़ाइल का नाम नहीं बदलता है. हालांकि, फ़ाइलें जिन्हें एन्क्रिप्ट किया गया है वे अपने संबद्ध एप्लिकेशन के साथ खुलने में अक्षम होती हैं.

अपनी फ़ाइलों को एन्क्रिप्ट किए जाने के बाद, समान संदेश प्रदर्शित होता है (यह उपयोगकर्ता के डेस्कटॉप में "ransomed.html" फ़ाइल में स्थित होता है):

एन्क्रिप्ट की गई फ़ाइलों को इन एक्सटेंशन में से किसी एक के द्वारा पहचाना जा सकता है:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

साथ ही, एक रैंसम नोट फ़ाइल को यूज़र के डेस्कटॉप पर इनमें से किसी एक नाम से छोड़ दिया जाता है:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

एन्क्रिप्ट की गई फ़ाइलों की इन एक्सटेंशन में से किसी एक के द्वारा पहचान की जा सकती है:
.mallox
.exploit
.architek
.brg
.carone

कम से कम एक इन्क्रिप्टेड फाइल युक्त एक प्रत्येक फोल्डर में, रैनसम नोट फाइल/ransom note file भी होती है, जिसका नाम RECOVERY INFORMATION.txt (नीचे दिए गए चित्र को देखें) होता है.

Stampado एन्क्रिप्ट की गई फ़ाइलों में .locked एक्सटेंशन जोड़ता है. कुछ रूप फ़ाइल नाम को भी एन्क्रिप्ट कर देते हैं, इसलिए एन्क्रिप्ट किया गया फ़ाइल नाम document.docx.locked के रूप में या 85451F3CCCE348256B549378804965CD8564065FC3F8.locked के रूप में दिख सकता है.

एन्क्रिप्शन पूर्ण हो जाने के बाद, निम्न स्क्रीन दिखाई देगी:

SZFLocker फ़ाइल के नाम के अंत में .szf जोड़ता है. (उदाहरण के लिए, Thesis.doc = Thesis.doc.szf)

जब आप एन्क्रिप्ट की हुई फ़ाइल को खोलने का प्रयास करते हैं, तो SZFLocker निम्नलिखित संदेश प्रदर्शित करता है (पॉलिश में):

TeslaCrypt का नवीनतम संस्करण आपकी फाइलों का नाम नहीं बदलता है.

आपकी फ़ाइलों को एन्क्रिप्ट करने के बाद, TeslaCrypt निम्नलिखित संदेश का वेरिएंट प्रदर्शित करता है:

एन्क्रिप्ट की गई फ़ाइलों में इनमें से एक एक्सटेंशन होगा:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

अपनी फ़ाइलों को एन्क्रिप्ट करने के बाद, उपयोगकर्ता के डेस्कटॉप पर README1.txt to README10.txt. नाम से अनेक फ़ाइलें बनाई जाएंगी. वे अलग-अलग भाषाओं में हैं, जिनमें यह पाठ शामिल है:

उपयोगकर्ताओं के डेस्कटॉप की पृष्ठभूमि भी बदली गई है और यह नीचे दिए गए चित्र की तरह दिखता है:

रैंसमवेयर एन्क्रिप्ट की गई फ़ाइलों में ".~xdata~" एक्सटेंशन जोड़ता है.

एन्क्रिप्ट की गई कम से कम एक फ़ाइल वाले प्रत्येक फ़ोल्डर में, "HOW_CAN_I_DECRYPT_MY_FILES.txt" फ़ाइल मिल सकती है. इसके अतिरिक्त, रैंसमवेयर निम्नलिखित नाम के जैसी एक कुंजी फ़ाइल बनाता है:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ निम्नलिखित फ़ोल्डरों में:

• C:\

• C:\ProgramData

• Desktop

फ़ाइल "HOW_CAN_I_DECRYPT_MY_FILES.txt" में निम्नलिखित रैंनसम नोट होता है: