O ransomware adiciona uma das seguintes extensões aos arquivos criptografados:
.aes_ni
.aes256
.aes_ni_0day

Em cada pasta com pelo menos um arquivo criptografado, é possível encontrar o arquivo “!!! READ THIS - IMPORTANT !!!.txt”. Além disso, o ransomware cria um arquivo chave com nome que se parece com: [NOME_DO_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day na pasta C:\ProgramData.

O arquivo “!!! READ THIS - IMPORTANT !!!.txt” contém a seguinte mensagem de resgate:

Os arquivos criptografados têm a extensão “.Alcatraz”.

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica em um arquivo “ransomed.html”, localizado na área de trabalho do usuário):

O Apocalypse adiciona .encrypted, .FuckYourData, .locked, .Encryptedfile, ou .SecureCrypted no final dos nomes de arquivo. (p.ex., Tese.doc = Tese.doc.locked)

Abrir um arquivo com a extensão .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt, ou .Where_my_files.txt (por exemplo, Thesis.doc.How_To_Decrypt.txt) exibirá uma variação da mensagem:

É possível reconhecer os arquivos criptografados por uma dessas extensões:
.ATOMSILO
.lockfile

Em cada pasta com pelo menos um arquivos criptografado, há também uma nota de resgate nomeada README-FILE-%ComputerName%-%Number%.hta ou LOCKFILE-README-%ComputerName%-%Number%.hta, por exemplo:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Ao criptografar um arquivo, o Babuk anexa uma das seguintes extensões ao nome do arquivo:
.babuk
.babyk
.doydo

Em cada pasta com pelo menos um arquivo criptografado, o arquivo Help Restore Your Files.txt (ajuda para restaurar seus arquivos.txt, em tradução livre) se encontra com o seguinte conteúdo:

O BadBlock não renomeia seus arquivos.

Após criptografar seus arquivos, o BadBlock exibe uma dessas mensagens (de um arquivo chamado Help Decrypt.html):

O Bart adiciona .bart.zip ao final dos nomes de arquivos. (p.ex., Tese.doc = Tese.docx.bart.zip). Esses arquivos são ZIP criptografados que contêm os arquivos originais.

Após criptografar seus arquivos, Bart altera o seu papel de parede da área de trabalho para uma imagem como a abaixo. O texto nessa imagem também pode ser usado para ajudar a identificar o Bart e é armazenado na área de trabalho em arquivos nomeados recover.bmp e recover.txt.

O ransomware adiciona a seguinte extensão: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

O ransomware também cria um arquivo de texto com nome “Read Me.txt” em cada pasta. O conteúdo deste arquivo segue abaixo:

Os nomes de arquivos criptografados têm o seguinte formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Além disso, um dos arquivos a seguir pode ser encontrado no PC
Key.dat em %USERPROFILE%\Desktop
1.bmp em %USERPROFILE%\AppData\Roaming
#_README_#.inf ou !#_DECRYPT_#!.inf em cada pasta com pelo menos um arquivo criptografado.

Depois de criptografar seus arquivos, o papel de parede da área de trabalho é alterado, ficando assim:

Além disso, você pode ver uma das seguintes mensagens de resgate:

O Crypt888 adiciona Lock. ao início dos nomes de arquivos. (por exemplo, Tese.doc = Lock.Tese.doc)

Após criptografar seus arquivos, o Crypt888 altera seu papel de parede da área de trabalho por umas das seguintes imagens:

Os arquivos criptografados terão as seguintes extensões: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl ou .MOLE.

Os seguintes arquivos podem ser encontrados no PC após a criptografia de arquivos:

Os arquivos criptografados têm muitas extensões diferentes, incluindo:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Após criptografar seus arquivos, uma das seguintes mensagens é exibida (veja abaixo). A mensagem está localizada em “Decryption instructions.txt”, “Decryptions instructions.txt”, “README.txt”, “Readme to restore your files.txt” ou “HOW TO DECRYPT YOUR DATA.txt” na área de trabalho do usuário. Além disso, o plano de fundo da área de trabalho é alterado para uma das imagens abaixo.

O ransomware adiciona a palavra “encrypTile” ao nome do arquivo:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

O ransomware também cria quatro novos arquivos na área de trabalho do usuário. Os nomes desses arquivos estão localizados, aqui estão suas versões em inglês:

Durante a execução, o ransomware impede ativamente o usuário de executar quaisquer ferramentas que possam removê-lo. Consulte a publicação no blog para instruções mais detalhadas sobre como executar a ferramenta de descriptografia, caso o ransomware estiver em execução no seu PC.

Os arquivos criptografados terão a extensão .crypt.

Depois de criptografar seus arquivos, vários arquivos são criados na área de trabalho do usuário, com as seguintes variantes de nome: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Todos são idênticos e contêm a seguinte mensagem de texto:

Especial: Como as ferramentas de descriptografia da AVAST são aplicativos para Windows, é necessário instalar uma camada de emulação no Mac (WINE, CrossOver). Para mais informações, leia nossa publicação no blog.

Os arquivos criptografados têm as seguintes extensões:
.FONIX,
.XINOF

Depois de criptografar os arquivos na máquina das vítimas, o ransomware exibe as seguintes telas:

O ransomware adiciona várias extensões possíveis:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (as letras são aleatórias)

O ransomware também cria um arquivo de texto com nome “GDCB-DECRYPT.txt”, “CRAB-DECRYPT.txt”, “KRAB_DECRYPT.txt”, “%RandomLetters%-DECRYPT.txt” ou “%RandomLetters%-MANUAL.txt” em cada pasta. O conteúdo deste arquivo está abaixo:

Versões posteriores do ransomware também podem colocar a seguinte imagem na área de trabalho do usuário:

O Globe adiciona uma das seguintes extensões ao nome do arquivo: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", ou ".hnyear". Além disso, algumas de suas versões criptografam também o nome do arquivo.

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica localizada no arquivo “How to restore files.hta” ou “Read Me Please.hta”):

É possível reconhecer os arquivos criptografados pela extensão .[vote2024forjb@protonmail.com].encryptedJB. Além disso, um arquivo chamado read_me.html é enviado ao desktop do usuário (veja a imagem abaixo).

Os arquivos criptografados terão as seguintes extensões (entre outras): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Após criptografar arquivos, um arquivo de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) aparece na área de trabalho do usuário. Muitas outras variações também podem mostrar uma mensagem de resgate:

Os arquivos criptografados terão as seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org ou .gefickt.

Após criptografar seus arquivos, uma das telas abaixo será exibida:

O ransomware adiciona a extensão “.MyChemicalRomance4EVER” ao nome do arquivo:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

O ransomware também cria um arquivo de texto com nome "UNLOCK_guiDE.txt" na área de trabalho do usuário. O conteúdo deste arquivo segue abaixo:

O Legion adiciona uma variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf no final dos nomes de arquivo. (por exemplo, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Após criptografar seus arquivos, o Legion altera o papel de parede de sua área de trabalho e exibe um pop-up, como esse:

O NoobCrypt não altera o nome do arquivo. No entanto, os arquivos criptografados não podem ser abertos com seu aplicativo associado.

Após criptografar seus arquivos, uma mensagem semelhante é exibida (ela fica em um arquivo “ransomed.html”, localizado na área de trabalho do usuário):

É possível identificar os arquivos criptografados com uma dessas extensões:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Além disso, um arquivo com a notificação do resgate é enviado ao desktop do usuário com um desses nomes:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

É possível identificar os arquivos criptografados com uma dessas extensões:
.mallox
.exploit
.architek
.brg
.carone

Em cada pasta com pelo menos um arquivo criptografado, há também uma nota de sequestro chamada RECOVERY INFORMATION.txt (imagem abaixo).

O Stampado adiciona a extensão .locked aos arquivos criptografados. Algumas variantes também criptografam o nome do arquivo, de forma que o nome do arquivo criptografado pode ficar parecido com documento.docx.locked ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Após a criptografia ser concluída, a tela a seguir será exibida:

O SZFLocker adiciona .szf ao final dos nomes de arquivo. (p.ex., Tese.doc = Tese.doc.szf)

Ao tentar abrir um arquivo criptografado, o SZFLocker exibe a seguinte mensagem (em polonês):

A versão mais recente do TeslaCrypt não renomeia seus arquivos.

Após criptografar seus arquivos, o TeslaCrypt exibe uma variante da seguinte mensagem:

Os arquivos criptografados têm as seguintes extensões:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Depois de criptografar os arquivos, outros arquivos são criados na área de trabalho do usuário com as seguintes variantes: README1.txt até README10.txt. Eles apresentam o seguinte texto em diferentes idiomas:

O plano de fundo da área de trabalho do usuário também fica com a imagem abaixo:

O ransomware adiciona a extensão “.~xdata~” aos arquivos criptografados.

Em cada pasta com pelo menos um arquivo criptografado, é possível encontrar o arquivo “HOW_CAN_I_DECRYPT_MY_FILES.txt” Além disso, o ransomware cria um arquivo chave com nome que se parece com:

[NOME_DO_PC]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nas seguintes pastas:

• C:\

• C:\ProgramData

• Desktop

O arquivo “HOW_CAN_I_DECRYPT_MY_FILES.txt” contém a seguinte mensagem de resgate: