Løsepengeviruset gir de krypterte filene en av følgende filtyper:
.aes_ni
.aes256
.aes_ni_0day

I alle mapper som har minst én kryptert fil, ligger filen "!!! READ THIS - IMPORTANT !!!.txt". I tillegg oppretter løsepengeviruset en nøkkelfil med et navn som ligner på [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day i mappen C:\ProgramData.

Filen "!!! READ THIS - IMPORTANT !!!.txt” inneholder følgende løsepengekrav:

Krypterte filer har filtypen .Alcatraz.

Når filene dine er kryptert, vises en melding (den er plassert i filen ransomed.html på brukerens skrivebord):

Apocalypse legger til .encrypted, .FuckYourData, .locked, .Encryptedfile eller .SecureCrypted i slutten av filnavnet. (for eksempel Thesis.doc = Thesis.doc.locked)

Åpner du en av filtypene .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt eller .Where_my_files.txt (for eksempel Thesis.doc.How_To_Decrypt.txt), så vises en variant av denne meldingen:

Krypterte filer kan gjenkjennes med en av disse filtypene:
.ATOMSILO
.lockfile

I alle mapper som inneholder minst én kryptert fil finnes det også en fil med et løsepengekrav, med navnet README-FILE-%Datamaskinnavn%-%Tall%.hta or LOCKFILE-README-%Datamaskinnavn%-%Tall%.hta. Eksempler:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Under krypteringen gir Babuk filnavnet en av disse filtypene:
.babuk
.babyk
.doydo

I alle mapper som har minst én kryptert fil, ligger filen Help Restore Your Files.txt med følgende innhold:

BadBlock endrer ikke navn på filene dine.

Når den har kryptert filene dine, viser BadBlock en av disse meldingene (fra filen Help Decrypt.html):

Bart legger til .bart.zip i slutten av filnavnet. (For eksempel Thesis.docx.bart.zip) Dette er krypterte ZIP-arkiver som inneholder de opprinnelige filene.

Etter å ha kryptert filene dine, endrer Bart bakgrunnen på skrivebordet til et bilde som ligner på det nedenfor: Teksten på dette bildet kan også brukes til å identifisere Bart, og er lagret på skrivebordet i filer med filnavn som recover.bmp og recover.txt.

Løsepengeviruset legger til følgende filtype: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Løsepengeviruset oppretter også en tekstfil med navnet Read Me.txt i hver mappe. Innholdet i filen vises under.

Krypterte filnavn har følgende format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Videre vil en av følgende filer finnes på PC-en:
Key.dat i %USERPROFILE%\Desktop
1.bmp i %USERPROFILE%\AppData\Roaming
#_README_#.inf eller !#_DECRYPT_#!.inf i alle mapper som har minst én kryptert fil.

Når filene dine har blitt kryptert, endres skrivebordsbakgrunnen til følgende:

Du kan også se ett av følgende løsepengekrav:

Crypt888 legger til Lock. i begynnelsen av filnavn (for eksempel Thesis.doc = Lock.Thesis.doc).

Etter å ha kryptert filene dine, endrer Crypt888 bakgrunnen på skrivebordet til en av disse:

Krypterte filer vil ha en av disse filtypene: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl eller .MOLE.

Følgende filer kan finnes på PC-en etter at filene er kryptert:

Krypterte filer har mange ulike filtyper, blant annet disse:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Når filene dine er kryptert, vises en av disse meldingene (se nedenfor). Meldingen ligger i filen Decryption instructions.txt, Decryptions instructions.txt, README.txt, Readme to restore your files.txt eller HOW TO DECRYPT YOUR DATA.txt på brukerens skrivebord. I tillegg endres skrivebordsbakgrunnen til et av bildene under.

Løsepengeviruset legger til ordet encrypTile i filnavnet:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Løsepengeviruset oppretter også fire nye filer på brukerens skrivebord. Navnene på disse filene er oversatt fra de engelske navnene, som er:

Under kjøring vil løsepengeviruset aktivt hindre brukeren i å kjøre verktøy som kan fjerne det. I blogginnlegget finner du mer informasjon om hvordan du utfører dekrypteringen hvis løsepengeviruset kjører på PC-en din.

Krypterte filer har filtypen .crypt.

Etter at filene har blitt kryptert, opprettes flere filer på brukerens skrivebord med varianter av følgende navn: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Alle filene er helt like og inneholder denne tekstmeldingen:

Spesielt: Fordi AVAST-dekrypteringsprogrammer er laget for Windows, er det nødvendig å installere et emuleringslag på Mac (WINE, CrossOver). Hvis du trenger mer informasjon, kan du lese dette blogginnlegget.

Krypterte filer vil ha en av disse filtypene:
.FONIX,
.XINOF

Når filene på offerets maskin er kryptert, viser løsepengeviruset denne meldingen på skjermen:

Løsepengeviruset legger til flere ulike filtyper:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (bokstavener er tilfeldige)

Løsepengeviruset oppretter også en tekstfil med et av navnene GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB_DECRYPT.txt, %tilfeldige_bokstaver%-DECRYPT.txt eller %tilfeldige_bokstaver%-MANUAL.txt, i hver mappe. Innholdet i filen vises under.

Nyere versjoner av løsepengeviruset kan også plassere følgende bilde på brukerens skrivebord:

Globe gir filnavnet en av disse filtypene: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9] eller .hnyear. Noen av versjonene vil også kryptere filnavnet.

Når filene dine er kryptert, vises en melding (den er plassert i filen How to restore files.hta eller Read Me Please.hta):

Krypterte filer kan gjenkjennes med filtypen .[vote2024forjb@protonmail.com].encryptedJB. I tillegg legges filen read_me.html på skrivebordet til brukeren (se bilde nedenfor).

Krypterte filer kan ha en av følgende filtyper (men ikke begrenset til disse): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Etter kryptering av filene dukker det opp en tekstfil (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) på brukerens skrivebord. Ulike varianter viser også en melding om løsepenger:

Krypterte filer vil ha en av følgende filtyper: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org eller .gefickt.

Etter at filene dine er kryptert, vises ett av skjermbildene nedenfor:

Løsepengeviruset legger til filtypen .MyChemicalRomance4EVER etter filnavnet:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Løsepengeviruset oppretter også en tekstfil med navnet UNLOCK_guiDE.txt på skrivebordet til brukeren. Innholdet i filen vises under.

Legion legger til en variant av ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion eller .$centurion_legion@aol.com$.cbf på slutten av filnavnet (for eksempel Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Etter å ha kryptert filene dine endrer Legion bakgrunnen på skrivebordet og viser en melding på skjermen:

NoobCrypt endrer ikke filnavnet. Filer som er kryptert, kan imidlertid ikke åpnes med det tilknyttede programmet.

Når filene dine er kryptert, vises en melding (den er plassert i filen ransomed.html på brukerens skrivebord):

Krypterte filer kan gjenkjennes med en av disse filtypene:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

I tillegg legges en løsepengemelding på skrivebordet til brukeren med et av disse navnene:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Krypterte filer kan gjenkjennes med en av disse filtypene:
.mallox
.exploit
.architek
.brg
.carone

I alle mapper som inneholder minst én kryptert fil finnes det også en fil med et løsepengekrav, med navnet RECOVERY INFORMATION.txt (se bilde nedenfor).

Stampado bruker filtypen .locked på de krypterte filene. Enkelte varianter krypterer også selve filnavnet, slik at filnavnet kan se ut som enten dokument.docx.locked eller 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Når krypteringen er fullført, vises følgende skjermbilde:

SZFLocker legger til .szf i slutten av filnavnet (for eksempel Thesis.doc = Thesis.doc.szf).

Når du prøver å åpne en kryptert fil viser SZFLocker følgende beskjed (på polsk):

Den nyeste versjonen av TeslaCrypt endrer ikke navn på filene dine.

Etter å ha kryptert filene dine viser TeslaCrypt en variant av følgende melding:

Krypterte filer vil ha en av disse filtypene:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Etter at filene har blitt kryptert, opprettes flere filer på brukerens skrivebord med navnet READMEn.txt, der n er et tall fra 1 til 10. De opprettes på flere språk og inneholder denne teksten:

I tillegg endres brukerens skrivebordsbakgrunn og ser ut som dette bildet:

Løsepengeviruset Stampado bruker filtypen ~xdata~ på de krypterte filene.

I alle mapper som har minst én kryptert fil, ligger filen HOW_CAN_I_DECRYPT_MY_FILES.txt. I tillegg oppretter løsepengeviruset en nøkkelfil med et navn som ligner på

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ i følgende mapper:

• C:\

• C:\ProgramData

• Desktop (Skrivebord)

Filen HOW_CAN_I_DECRYPT_MY_FILES.txt inneholder følgende løsepengekrav: