O ransomware acrescenta uma das seguintes extensões aos ficheiros encriptados:
.aes_ni
.aes256
.aes_ni_0day

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro “!!! READ THIS - IMPORTANT !!!.txt”. Além disso, o ransomware cria um ficheiro de chave com um nome semelhante a: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day na pasta C:\ProgramData.

O ficheiro “!!! READ THIS - IMPORTANT !!!.txt” contém a seguinte nota de resgate:

Os ficheiros encriptados têm a extensão “.Alcatraz”.

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

O Apocalypse acrescenta .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.locked)

Abrir um ficheiro com a extensão .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt ou .Where_my_files.txt (ex.: Tese.doc.How_To_Decrypt.txt) faz aparecer uma variação desta mensagem:

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões:
.ATOMSILO
.lockfile

Em cada pasta com pelo menos um ficheiro encriptado, existe também um ficheiro de nota de resgate com o nome README-FILE-%NomeComputador%-%Número%.hta ou LOCKFILE-README-%NomeComputador%-%Número%.hta, por exemplo:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Ao encriptar um ficheiro, o Babuk acrescenta uma das seguintes extensões ao nome do ficheiro:
.babuk
.babyk
.doydo

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro Help Restore Your Files.txt com o seguinte conteúdo:

O BadBlock não muda o nome dos ficheiros.

Depois de encriptar os ficheiros, o BadBlock apresenta uma das seguintes mensagens (a partir de um ficheiro com o nome Help Decrypt.html):

O Bart acrescenta .bart.zip à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.docx.bart.zip) Trata-se de arquivos ZIP encriptados que contêm os ficheiros originais.

Depois de encriptar os ficheiros, o Bart muda o fundo do ambiente de trabalho para uma imagem semelhante à que é mostrada abaixo. O texto incluído na imagem também pode ser utilizado para ajudar a identificar o Bart e o conteúdo é guardado no ambiente de trabalho em ficheiros com o nome recover.bmp e recover.txt.

O ransomware acrescenta a seguinte extensão: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

O ransomware também cria um ficheiro de texto com o nome “Read Me.txt” em cada pasta. O conteúdo do ficheiro encontra-se abaixo.

Os nomes dos ficheiros encriptados terão o seguinte formato:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Além disso, é possível encontrar no PC um dos seguintes ficheiros:
Key.dat em %USERPROFILE%\Ambiente de trabalho
1.bmp em %USERPROFILE%\AppData\Roaming
#_README_#.inf ou !#_DECRYPT_#!.inf em cada pasta com pelo menos um ficheiro encriptado.

Depois de encriptar os ficheiros, o ransomware muda o fundo do ambiente de trabalho para o seguinte:

Também poderá ver uma das seguintes notas de resgate:

O Crypt888 acrescenta Lock. à parte inicial dos nomes dos ficheiros. (ex.: Tese.doc = Lock.Tese.doc)

Depois de encriptar os ficheiros, o Crypt888 muda o fundo do ambiente de trabalho para um dos seguintes:

Os ficheiros encriptados terão uma das seguintes extensões: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl ou .MOLE.

Os ficheiros que se seguem poderão ser encontrados no PC após a encriptação de ficheiros:

Os ficheiros encriptados têm várias extensões diferentes, incluindo:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Após a encriptação dos ficheiros, aparece uma das seguintes mensagens (ver abaixo). A mensagem encontra-se em “Decryption instructions.txt”, “Decryptions instructions.txt”, “README.txt”, “Readme to restore your files.txt” ou “HOW TO DECRYPT YOUR DATA.txt” no ambiente de trabalho do utilizador. Além disso, o ransomware muda o fundo do ambiente de trabalho para uma das imagens abaixo.

O ransomware acrescenta a palavra “encrypTile” ao nome de um ficheiro:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

O ransomware também cria quatro ficheiros novos no ambiente de trabalho do utilizador. Os nomes desses ficheiros são traduzidos; apresentamos aqui as versões em inglês:

Quando está em execução, o ransomware impede ativamente o utilizador de executar ferramentas que possam removê-lo. Consulte a publicação no blogue para obter instruções mais detalhadas sobre o modo de executar o desencriptador caso o ransomware esteja em execução no seu PC.

Os ficheiros encriptados terão a extensão .crypt.

Após a encriptação dos ficheiros, são criados vários ficheiros no ambiente de trabalho do utilizador, com os seguintes nomes variados: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. São todos idênticos e contêm a seguinte mensagem de texto:

Nota especial: visto que os desencriptadores AVAST são aplicações do Windows, é necessário instalar uma camada de emulação em Mac (WINE, CrossOver). Para obter mais informações, leia a nossa publicação no blogue.

Os ficheiros encriptados terão uma das seguintes extensões:
.FONIX,
.XINOF

Depois de encriptar ficheiros no computador afetado, o ransomware mostra o seguinte ecrã:

O ransomware acrescenta várias extensões possíveis:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (as letras são aleatórias)

O ransomware também cria um ficheiro de texto com o nome “GDCB-DECRYPT.txt”, “CRAB-DECRYPT.txt”, “KRAB_DECRYPT.txt”, “%RandomLetters%-DECRYPT.txt” ou “%RandomLetters%-MANUAL.txt” em cada pasta. O conteúdo do ficheiro encontra-se abaixo.

Versões posteriores do ransomware podem também colocar a seguinte imagem no ambiente de trabalho do utilizador:

O Globe acrescenta uma das seguintes extensões ao nome do ficheiro: “.ACRYPT”, “.GSupport[0-9]”, “.blackblock”, “.dll555”, “.duhust”, “.exploit”, “.frozen”, “.globe”, “.gsupport”, “.kyra”, “.purged”, “.raid[0-9]”, “.siri-down@india.com”, “.xtbl”, “.zendrz”, “.zendr[0-9]” ou “.hnyear”. Além disso, algumas versões deste ransomware também encriptam o nome do ficheiro.

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “How to restore files.hta” ou “Read Me Please.hta”):

Os ficheiros encriptados podem ser reconhecidos pela extensão do ficheiro .[vote2024forjb@protonmail.com].encryptedJB. Também é deixado um ficheiro com o nome read_me.html no ambiente de trabalho do utilizador (ver a imagem abaixo).

Os ficheiros encriptados terão uma das seguintes extensões (embora não se limite a estas extensões): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Após a encriptação dos ficheiros, aparece um ficheiro de texto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) no ambiente de trabalho do utilizador. Algumas variantes também poderão mostrar uma mensagem de resgate:

Os ficheiros encriptados terão uma das seguintes extensões: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org ou .gefickt.

Após a encriptação dos ficheiros, aparece um dos ecrãs abaixo:

O ransomware acrescenta a extensão “.MyChemicalRomance4EVER” após o nome do ficheiro:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

O ransomware também cria um ficheiro de texto com o nome “UNLOCK_guiDE.txt” no ambiente de trabalho do utilizador. O conteúdo do ficheiro encontra-se abaixo.

O Legion acrescenta uma variação de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Depois de encriptar os ficheiros, o Legion muda o fundo do ambiente de trabalho e apresenta uma janela pop-up da seguinte forma:

O NoobCrypt não altera o nome do ficheiro. Contudo, não é possível abrir os ficheiros encriptados com a aplicação associada.

Após a encriptação dos ficheiros, aparece uma mensagem semelhante (localizada num ficheiro “ransomed.html” no ambiente de trabalho do utilizador):

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões do ficheiro:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Também é deixado um ficheiro com a nota de resgate no ambiente de trabalho do utilizador, com um destes nomes:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

É possível reconhecer os ficheiros encriptados através de uma das seguintes extensões:
.mallox
.exploit
.architek
.brg
.carone

Em cada pasta com pelo menos um ficheiro encriptado, existe também um ficheiro de nota de resgate com o nome RECOVERY INFORMATION.txt (ver a imagem abaixo).

O Stampado acrescenta a extensão .locked aos ficheiros encriptados. Algumas variantes também encriptam o nome de ficheiro em si, o que significa que o nome de ficheiro encriptado poderá aparecer como document.docx.locked ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Após a conclusão da encriptação, aparece o seguinte ecrã:

O SZFLocker acrescenta .szf à parte final dos nomes dos ficheiros. (ex.: Tese.doc = Tese.doc.szf)

Quando tenta abrir um ficheiro encriptado, o SZFLocker apresenta a seguinte mensagem (em polaco):

A versão mais recente do TeslaCrypt não muda o nome dos ficheiros.

Depois de encriptar os ficheiros, o TeslaCrypt apresenta uma variação da seguinte mensagem:

Os ficheiros encriptados terão uma das seguintes extensões:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Após a encriptação dos ficheiros, são criados vários ficheiros no ambiente de trabalho do utilizador, com nomes de README1.txt a README10.txt. Contêm o seguinte texto em idiomas diferentes:

O fundo do ambiente de trabalho do utilizador também muda e fica semelhante à imagem abaixo:

O ransomware acrescenta a extensão “.~xdata~” aos ficheiros encriptados.

Em cada pasta com pelo menos um ficheiro encriptado, é possível encontrar o ficheiro “HOW_CAN_I_DECRYPT_MY_FILES.txt”. Além disso, o ransomware cria um ficheiro de chave com um nome semelhante a:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ nas seguintes pastas:

• C:\

• C:\ProgramData

• Ambiente de trabalho

O ficheiro “HOW_CAN_I_DECRYPT_MY_FILES.txt” contém a seguinte nota de resgate: