To oprogramowanie ransomware dodaje do nazwy szyfrowanego pliku jedno z następujących rozszerzeń:
.aes_ni
.aes256
.aes_ni_0day

W każdym folderze z co najmniej jednym zaszyfrowanym plikiem znajduje się plik „!!! READ THIS - IMPORTANT !!!.txt” Ponadto oprogramowanie tworzy plik klucza o nazwie przypominającej następującą: [NAZWA_KOMPUTERA]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day w folderze C:\ProgramData.

Plik „!!! READ THIS - IMPORTANT !!!.txt” zawiera następujące żądanie okupu:

Zaszyfrowane pliki mają rozszerzenie „.Alcatraz”.

Po zaszyfrowaniu plików jest wyświetlany komunikat przypominający poniższy (znajduje się on w pliku „ransomed.html” na pulpicie użytkownika):

Apocalypse dodaje do nazw plików końcówkę .encrypted, .FuckYourData, .locked, .Encryptedfile lub .SecureCrypted. (np. Praca_dyplomowa.doc = Praca_dyplomowa.doc.locked).

Otwarcie pliku z rozszerzeniem .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt lub .Where_my_files.txt (np. Thesis.doc.How_To_Decrypt.txt) powoduje wyświetlenie wiadomości podobnej do tej:

Zaszyfrowane pliki można poznać po jednym z następujących rozszerzeń:
.ATOMSILO
.lockfile

W każdym folderze z co najmniej jednym zaszyfrowanym plikiem znajduje się plik z informacją o okupie, którego nazwa to README-FILE-%ComputerName%-%Number%.hta lub LOCKFILE-README-%ComputerName%-%Number%.hta, np.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Podczas szyfrowania pliku oprogramowanie Babuk dodaje do nazwy pliku jedno z następujących rozszerzeń:
.babuk
.babyk
.doydo

W każdym folderze z co najmniej jednym zaszyfrowanym plikiem znajduje się plik Help Restore Your Files.txt o następującej zawartości:

BadBlock nie zmienia nazw plików.

Po zaszyfrowaniu plików BadBlock wyświetla jeden z następujących komunikatów (przy użyciu pliku Help Decrypt.html):

Bart dodaje do nazw plików końcówkę .bart.zip. (np. Praca_dyplomowa.doc = Praca_dyplomowa.docx.bart.zip). Są to zaszyfrowane archiwa ZIP zawierające oryginalne pliki.

Po zaszyfrowaniu plików Bart zmienia tapetę pulpitu na obraz przypominający poniższy. Tekst na obrazie może pomóc w identyfikacji oprogramowania Bart. Jest on zapisany na pulpicie w plikach o nazwie recover.bmp i recover.txt.

To oprogramowanie ransomware dodaje następujące rozszerzenie: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Ponadto w każdym folderze tworzony jest plik tekstowy o nazwie „Read Me.txt”. Zawartość tego pliku przedstawiono poniżej.

Nazwy zaszyfrowanych plików będą miały następujący format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Ponadto na komputerze można znaleźć jeden z następujących plików
Key.dat w folderze %USERPROFILE%\Desktop
1.bmp w folderze %USERPROFILE%\AppData\Roaming
#_README_#.inf lub !#_DECRYPT_#!.inf w każdym folderze zawierającym co najmniej jeden zaszyfrowany plik.

Po zaszyfrowaniu plików tapeta pulpitu jest zamieniana na jedną z następujących:

Może zostać również wyświetlone jedno z następujących żądań okupu:

Crypt888 dodaje do nazw plików prefiks Lock.. (np. Praca_dyplomowa.doc = Lock.Praca_dyplomowa.doc).

Po zaszyfrowaniu plików Crypt888 zmienia tapetę pulpitu na jedną z następujących:

Zaszyfrowane pliki będą miały jedno z następujących rozszerzeń: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl lub .MOLE.

Po zaszyfrowaniu plików na komputerze można znaleźć następujące pliki:

Zaszyfrowane pliki mają różne rozszerzenia, na przykład:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Po zaszyfrowaniu plików jest wyświetlany jeden z poniższych komunikatów. Komunikat ten znajduje się w pliku „Decryption instructions.txt”, „Decryptions instructions.txt”, „README.txt”, „Readme to restore your files.txt” lub „HOW TO DECRYPT YOUR DATA.txt” na pulpicie użytkownika. Ponadto tło pulpitu jest zmieniane na jedno z poniższych.

To oprogramowanie ransomware dodaje do nazw plików wyraz „encrypTile”:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Ponadto tworzy cztery nowe pliki na pulpicie użytkownika. Nazwy tych plików są tłumaczone, a oto ich wersja w języku angielskim:

Gdy program ransomware działa, aktywnie uniemożliwia użytkownikowi uruchomienie jakichkolwiek narzędzi, które mogłyby go usunąć. Aby uzyskać bardziej szczegółowe instrukcje uruchamiania narzędzia do odszyfrowywania w przypadku, gdy na komputerze działa oprogramowanie ransomware, przeczytaj ten wpis na blogu.

Zaszyfrowane pliki mają rozszerzenie .crypt.

Po zaszyfrowaniu plików na pulpicie użytkownika jest tworzonych kilka plików, które mogą mieć następujące nazwy: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Wszystkie są identyczne i zawierają następujący komunikat:

Ważna informacja: Narzędzia do odszyfrowywania Avast to aplikacje systemu Windows, dlatego na komputerze Mac konieczne jest zainstalowanie warstwy emulacyjnej (WINE, CrossOver). Aby uzyskać więcej informacji, przeczytaj nasz wpis na blogu.

Zaszyfrowane pliki będą miały jedno z następujących rozszerzeń:
.FONIX,
.XINOF

Po zaszyfrowaniu plików na komputerze ofiary oprogramowanie ransomware wyświetla następujący ekran:

To oprogramowanie ransomware dodaje wiele możliwych rozszerzeń:
.GDCB,
.CRAB,
.KRAB,
.%LosoweLitery%
foobar.doc -> foobar.doc.GDCB
dokument.dat -> dokument.dat.CRAB
dokument.xls -> dokument.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (losowe litery)

W każdym folderze jest tworzony plik tekstowy o nazwie „GDCB-DECRYPT.txt”, „CRAB-DECRYPT.txt”, „KRAB_DECRYPT.txt”, „%LosoweLitery%-DECRYPT.txt” lub „%LosoweLitery%-MANUAL.txt”. Zawartość tego pliku przedstawiono poniżej.

Nowsze wersje tego oprogramowania ransomware mogą także ustawiać następujący obraz na pulpicie użytkownika:

Oprogramowanie Globe dodaje do nazwy pliku jedno z następujących rozszerzeń: „.ACRYPT", „.GSupport[0-9]", „.blackblock", „.dll555", „.duhust”, „.exploit”, „.frozen”, „.globe”, „.gsupport”, „.kyra”, „.purged”, „.raid[0-9]”, „.siri-down@india.com”, „.xtbl”, „.zendrz”, „.zendr[0-9]” lub „.hnyear”. Co więcej — niektóre wersje tego oprogramowania szyfrują także nazwę pliku.

Po zaszyfrowaniu plików jest wyświetlany komunikat przypominający poniższy (znajduje się on w pliku „How to restore files.hta” lub „Read Me Please.hta”):

Zaszyfrowane pliki można poznać po rozszerzeniu .[vote2024forjb@protonmail.com].encryptedJB. Poza tym na pulpicie użytkownika znajduje się plik read_me.html (patrz zdjęcie poniżej).

Zaszyfrowane pliki mogą mieć jedno z następujących rozszerzeń (lub inne): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Po zaszyfrowaniu plików na pulpicie użytkownika pojawia się plik tekstowy (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). W przypadku innych odmian może zostać także wyświetlony komunikat dotyczący okupu:

Zaszyfrowane pliki będą miały jedno z następujących rozszerzeń: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org lub .gefickt.

Po zaszyfrowaniu plików jest wyświetlany jeden z poniższych ekranów:

To oprogramowanie ransomware dodaje do nazw plików rozszerzenie „.MyChemicalRomance4EVER”:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Ponadto tworzy plik tekstowy o nazwie „UNLOCK_guiDE.txt” na pulpicie użytkownika. Zawartość tego pliku przedstawiono poniżej.

Legion dodaje do nazw plików końcówkę typu ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion lub .$centurion_legion@aol.com$.cbf (np. Praca_dyplomowa.doc = Praca_dyplomowa.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Po zaszyfrowaniu plików Legion zmienia tapetę pulpitu i wyświetla wyskakujący komunikat o mniej więcej takiej treści:

Oprogramowanie NoobCrypt nie zmienia nazwy pliku. Jednak zaszyfrowanych plików nie można otworzyć przy użyciu skojarzonej z nimi aplikacji.

Po zaszyfrowaniu plików jest wyświetlany komunikat przypominający poniższy (znajduje się on w pliku „ransomed.html” na pulpicie użytkownika):

Zaszyfrowane pliki można poznać po jednym z tych rozszerzeń:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Poza tym na pulpicie użytkownika znajduje się plik z informacją o okupie mający jedną z tych nazw:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Zaszyfrowane pliki można poznać po jednym z następujących rozszerzeń:
.mallox
.exploit
.architek
.brg
.carone

W każdym folderze z co najmniej jednym zaszyfrowanym plikiem znajduje się plik z informacją o okupie, którego nazwa to RECOVERY INFORMATION.txt (patrz zdjęcie poniżej).

Oprogramowanie Stampado dodaje do nazw zaszyfrowanych plików rozszerzenie .locked. Niektóre odmiany szyfrują także nazwę pliku, a zatem nazwa zaszyfrowanego pliku może wyglądać tak: document.docx.locked lub tak: 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Po zakończeniu szyfrowania pojawi się następujący ekran:

SZFLocker dodaje do nazw plików końcówkę .szf. (np. Praca_dyplomowa.doc = Praca_dyplomowa.doc.szf).

Jeśli spróbujesz otworzyć zaszyfrowany plik, SZFLocker wyświetli następujący komunikat:

Najnowsza wersja oprogramowania TeslaCrypt nie zmienia nazw plików.

Po zaszyfrowaniu plików TeslaCrypt wyświetla komunikat o mniej więcej takiej treści:

Zaszyfrowane pliki będą miały jedno z następujących rozszerzeń:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Po zaszyfrowaniu plików na pulpicie użytkownika jest tworzonych kilka plików, które mogą nosić nazwy od README1.txt do README10.txt. Pliki te zawierają następujący tekst w różnych językach:

Ponadto następuje zmiana tła pulpitu na poniższe:

To oprogramowanie ransomware dodaje do nazw zaszyfrowanych plików rozszerzenie „.~xdata~”.

W każdym folderze z co najmniej jednym zaszyfrowanym plikiem znajduje się plik „HOW_CAN_I_DECRYPT_MY_FILES.txt”. Ponadto oprogramowanie tworzy plik klucza o nazwie przypominającej następującą:

[NAZWA_KOMPUTERA]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ w tych folderach:

• C:\

• C:\ProgramData

• Pulpit

Plik „HOW_CAN_I_DECRYPT_MY_FILES.txt” zawiera następujące żądanie okupu: