Il ransomware aggiunge ai file criptati una delle seguenti estensioni:
.aes_ni
.aes256
.aes_ni_0day

In ogni cartella in cui è presente almeno un file criptato, è possibile trovare il file "!!!READ THIS - IMPORTANT !!!.txt". Inoltre, il ransomware crea un file chiave con un nome simile a: [NOME_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day nella cartella C:\ProgramData.

Il file "!!!READ THIS - IMPORTANT !!!.txt" contiene la seguente richiesta di riscatto:

I file criptati presentano l'estensione ".Alcatraz".

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

Apocalypse aggiunge .encrypted, .FuckYourData, .locked, .Encryptedfile o .SecureCrypted in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.locked).

Se si apre un file con estensione .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt o .Where_my_files.txt (ad esempio, Tesi.doc.How_To_Decrypt.txt) viene visualizzato un messaggio simile al seguente:

I file criptati possono presentare una delle seguenti estensioni:
.ATOMSILO
.lockfile

In ogni cartella in cui è presente almeno un file criptato, è possibile trovare il file con la richiesta di riscatto, denominato README-FILE-%ComputerName%-%Number%.hta o LOCKFILE-README-%ComputerName%-%Number%.hta. Ad esempio:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Babuk aggiunge al nome dei file criptati una delle seguenti estensioni:
.babuk
.babyk
.doydo

In ogni cartella in cui è presente almeno un file criptato, è possibile trovare il file Help Restore Your Files.txt con il seguente contenuto:

BadBlock non rinomina i file.

Dopo avere eseguito il criptaggio dei file, BadBlock mostra uno dei seguenti messaggi (da un file denominato Help Decrypt.html):

Bart aggiunge .bart.zip in coda al nome dei file (ad esempio, Tesi.doc = Tesi.docx.bart.zip). Si tratta di archivi ZIP criptati in cui sono contenuti i file originali.

Dopo avere eseguito il criptaggio dei file, Bart sostituisce lo sfondo del desktop con un'immagine simile alla seguente. Il testo visualizzato nell'immagine consente di stabilire che si tratta di Bart. Il file dell'immagine viene salvato sul desktop, con un nome simile a recover.bmp e recover.txt.

Il ransomware aggiunge la seguente estensione: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Il ransomware crea anche un file di testo denominato "Read Me.txt" in ogni cartella. Il contenuto del file è il seguente.

I nomi dei file criptati avranno il seguente formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Inoltre, nel PC si troverà uno dei seguenti file
Key.dat in %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf o !#_DECRYPT_#!.inf in ogni cartella in cui è presente almeno un file criptato.

Dopo che i file sono stati criptati, anche lo sfondo del desktop viene sostituito con il seguente:

Può inoltre essere visualizzata una delle seguenti richieste di riscatto:

Crypt888 aggiunge Lock. all'inizio del nome dei file (ad esempio, Tesi.doc = Lock.Tesi.doc).

Dopo avere eseguito il criptaggio dei file, Crypt888 sostituisce lo sfondo del desktop e visualizza una delle seguenti schermate:

I file criptati possono presentare una delle seguenti estensioni: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl o .MOLE.

Dopo che i file sono stati criptati, nel PC è possibile trovare i seguenti file:

I file criptati possono presentare numerose estensioni diverse, come:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Dopo che i file sono stati criptati, viene visualizzato uno dei messaggi mostrati di seguito. Il messaggio si trova nei file "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" o "HOW TO DECRYPT YOUR DATA.txt" sul desktop dell'utente. Inoltre, lo sfondo del desktop viene sostituito con una delle immagini seguenti.

Il ransomware aggiunge la parola "encrypTile" al nome del file:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Il ransomware crea inoltre quattro nuovi file sul desktop dell'utente. I nomi di questi file sono localizzati. Ecco le versioni in inglese:

Mentre è in esecuzione, il ransomware impedisce all'utente di eseguire strumenti che potrebbero potenzialmente rimuoverlo. Fai riferimento al post del blog per istruzioni più dettagliate su come eseguire lo strumento di decriptaggio nel caso in cui il ransomware sia in esecuzione nel PC.

I file criptati avranno l'estensione .crypt.

Dopo che i file sono stati criptati, sul desktop dell'utente vengono creati diversi file con le seguenti varianti del nome: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Sono tutti identici e contengono il seguente messaggio di testo:

Speciale: Dal momento che gli strumenti per il decriptaggio di AVAST sono applicazioni Windows, è necessario installare un livello di emulazione nel Mac (WINE, CrossOver). Per ulteriori informazioni, leggi il post del blog.

I file criptati possono presentare una delle seguenti estensioni:
.FONIX,
.XINOF

Dopo avere eseguito il criptaggio dei file sul computer della vittima, il ransomware mostra la seguente schermata:

Il ransomware può aggiungere diverse estensioni:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (caratteri disposti in modo casuale)

Il ransomware crea inoltre un file di testo denominato "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" o "%RandomLetters%-MANUAL.txt" in ogni cartella. Il contenuto del file è il seguente.

Le versioni più recenti del ransomware possono inoltre impostare la seguente immagine sul desktop dell'utente:

Globe aggiunge al nome dei file una delle seguenti estensioni: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" o ".hnyear". Inoltre, alcune delle varianti di questo ransomware criptano anche i nomi dei file.

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "How to restore files.hta" o "Read Me Please.hta"):

I file criptati presentano l'estensione .[vote2024forjb@protonmail.com].encryptedJB. Inoltre, sul desktop dell'utente viene creato un file denominato read_me.html (vedi l'immagine seguente).

I file criptati presentano un'estensione simile alle seguenti: .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Dopo che i file sono stati criptati, sul desktop viene visualizzato un file di testo (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Alcune varianti possono inoltre visualizzare un messaggio di richiesta del riscatto:

I file criptati possono presentare una delle seguenti estensioni: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org o .gefickt.

Dopo che i file sono stati criptati, viene visualizzata una delle seguenti schermate:

Il ransomware aggiunge l'estensione “.MyChemicalRomance4EVER” in coda al nome del file:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Il ransomware crea inoltre un file di testo denominato "UNLOCK_guiDE.txt" sul desktop dell'utente. Il contenuto del file è il seguente.

Legion aggiunge un testo simile a ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Dopo avere eseguito il criptaggio dei file, Legion sostituisce lo sfondo del desktop e mostra un messaggio simile al seguente:

NoobCrypt non modifica i nomi dei file. Tuttavia una volta criptati, i file non possono essere aperti utilizzando le applicazioni associate.

Dopo che i file sono stati criptati, viene visualizzato un messaggio simile al seguente (contenuto in un file denominato "ransomed.html" sul desktop dell'utente):

I file criptati possono presentare una delle seguenti estensioni:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Inoltre, sul desktop dell'utente viene creato un file con la richiesta di riscatto. Questo file può presentare uno di questi nomi:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

I file criptati possono presentare una delle seguenti estensioni:
.mallox
.exploit
.architek
.brg
.carone

In ogni cartella in cui è presente almeno un file criptato, è possibile trovare il file con la richiesta di riscatto, denominato RECOVERY INFORMATION.txt (vedi l'immagine seguente).

Stampado aggiunge .locked in coda al nome dei file. Alcune varianti effettuano il criptaggio anche del nome del file, che pertanto può essere simile a: documento.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Dopo che i file sono stati criptati, viene mostrata la seguente schermata:

SZFLocker aggiunge .szf in coda al nome dei file (ad esempio, Tesi.doc = Tesi.doc.szf).

Quando si tenta di aprire un file criptato, SZFLocker mostra il seguente messaggio (in polacco):

L'ultima versione di TeslaCrypt non modifica il nome dei file.

Dopo avere eseguito il criptaggio dei file, TeslaCrypt mostra un messaggio simile al seguente:

I file criptati possono presentare una delle seguenti estensioni:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Dopo che i file sono stati criptati, sul desktop dell'utente vengono creati diversi file denominati README1.txt, README2.txt... fino a README10.txt. Questi file contengono il seguente testo, in diverse lingue:

Inoltre, lo sfondo del desktop viene sostituito con un'immagine simile alla seguente:

Il ransomware aggiunge l'estensione ".~xdata~" ai file criptati.

In ogni cartella in cui è presente almeno un file criptato, è possibile trovare il file "HOW_CAN_I_DECRYPT_MY_FILES.txt". Inoltre, il ransomware crea un file chiave con un nome simile a:

[NOME_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nelle seguenti cartelle:

• C:\

• C:\ProgramData

• Desktop

Il file "HOW_CAN_I_DECRYPT_MY_FILES.txt" contiene la seguente richiesta di riscatto: