Programul ransomware adaugă la fișierele criptate una dintre următoarele extensii:
.aes_ni
.aes256
.aes_ni_0day

În fiecare folder care conține cel puțin un fișier criptat, poate fi găsit fișierul „!!! READ THIS - IMPORTANT !!!.txt”. În plus, programul ransomware creează un fișier cheie cu un nume similar cu: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day în folderul C:\ProgramData.

Fișierul „!!! READ THIS - IMPORTANT !!!.txt” conține următoarea notă de răscumpărare:

Fișierele criptate au extensia „.Alcatraz”.

După criptarea fișierelor dvs., apare un mesaj similar (acesta se află într-un fișier „ransomed.html” de pe desktopul utilizatorului):

Apocalypse adaugă .encrypted, .FuckYourData, .locked, .Encryptedfile sau .SecureCrypted la sfârșitul numelor fișierelor. (de exemplu, Thesis.doc = Thesis.doc.locked)

Deschizând un fișier cu extensia .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt sau .Where_my_files.txt (de exemplu, Thesis.doc.How_To_Decrypt.txt) se va afișa o variantă a acestui mesaj:

Fișierele criptate pot fi recunoscute după una din aceste extensii:
.ATOMSILO
.lockfile

În fiecare folder cu cel puțin un fișier criptat există și un fișier cu nota de răscumpărare, denumit README-FILE-%ComputerName%-%Number%.hta sau LOCKFILE-README-%ComputerName%-%Number%.hta, de exemplu:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Atunci când criptează un fișier, Babuk adaugă la numele fișierului una dintre următoarele extensii:
.babuk
.babyk
.doydo

În fiecare folder care are cel puțin un fișier criptat, poate fi găsit fișierul Help Restore Your Files.txt:

BadBlock nu vă redenumește fișierele.

După criptarea fișierelor dvs., BadBlock afișează unul dintre aceste mesaje (dintr-un fișier denumit Help Decrypt.html):

Bart adaugă .bart.zip la sfârșitul numelor fișierelor. (de exemplu, Thesis.doc = Thesis.docx.bart.zip). Acestea sunt arhive ZIP criptate care conțin fișierele originale.

După criptarea fișierelor dvs., Bart schimbă tapetul de pe desktop într-o imagine precum cea de mai jos. Textul de la această imagine poate fi utilizat și pentru a ajuta la identificarea Bart și este stocat pe desktop în fișiere denumite recover.bmp și recover.txt.

Programul ransomware adaugă următoarea extensie: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

De asemenea, programul ransomware creează un fișier text denumit „Read Me.txt” în fiecare folder. Conținutul fișierului este mai jos.

Numele fișierelor criptate vor avea următorul format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Totodată, unul dintre următoarele fișiere poate fi găsit pe PC
Key.dat pe %USERPROFILE%\Desktop
1.bmp în %USERPROFILE%\AppData\Roaming
#_README_#.inf sau !#_DECRYPT_#!.inf în fiecare folder care conține cel puțin un fișier criptat.

După criptarea fișierelor, tapetul de pe desktop se modifică în ceea ce urmează:

De asemenea, puteți vedea una dintre următoarele note privind răscumpărarea:

Crypt888 adaugă Lock. la începutul numelor fișierelor. (de exemplu, Thesis.doc = Lock.Thesis.doc)

După criptarea fișierelor dvs., Crypt888 vă modifică tapetul de pe desktop într-una din următoarele variante:

Fișierele criptate vor avea una dintre următoarele extensii: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl sau .MOLE.

După criptarea fișierelor, următoarele fișiere pot fi găsite pe PC:

Fișierele criptate au multe extensii diferite, care cuprind:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

După criptarea fișierelor dvs., apare unul dintre următoarele mesaje (vezi mai jos). Mesajul se află în „Decryption instructions.txt”, „Decryptions instructions.txt”, „README.txt”, „Readme to restore your files.txt” sau „HOW TO DECRYPT YOUR DATA.txt” de pe desktopul utilizatorului. De asemenea, fundalul desktopului este schimbat cu una din imaginile de mai jos.

Programul ransomware adaugă cuvântul „encrypTile” în numele fișierului:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

De asemenea, programul ransomware creează patru noi fișiere pe desktopul utilizatorului. Numele acestor fișiere sunt localizate, aici sunt versiunile lor în limba engleză:

În timpul rulării, programul ransomware împiedică în mod activ utilizatorul să ruleze orice instrumente care ar putea să-l elimine. Consultați postarea pe blog pentru instrucțiuni mai detaliate despre cum să rulați programul de decriptare, în cazul în care programul ransomware rulează pe PC.

Fișierele criptate vor avea extensia .crypt.

După criptarea fișierelor dvs., sunt create mai multe fișiere pe desktopul utilizatorului, cu variante de nume ca: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Toate acestea sunt identice, conținând următorul mesaj text:

Special: Deoarece programele de decriptare de la AVAST sunt aplicații Windows, este necesar să se instaleze un strat de emulare pe Mac (WINE, CrossOver). Pentru mai multe informații, citiți postarea noastră pe blog.

Fișierele criptate vor avea una dintre aceste extensii:
.FONIX,
.XINOF

După criptarea fișierelor pe computerul victimă, programul ransomware afișează următorul ecran:

Programul ransomware adaugă mai multe posibile extensii:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (literele sunt aleatoare)

De asemenea, programul ransomware creează un fișier text denumit „GDCB-DECRYPT.txt”, „CRAB-DECRYPT.txt”, „KRAB_DECRYPT.txt”, „%RandomLetters%-DECRYPT.txt” sau „%RandomLetters%-MANUAL.txt” în fiecare folder. Conținutul fișierului este mai jos.

Versiunile mai recente ale programului ransomware pot seta, de asemenea, următoarea imagine pe desktopul utilizatorului:

Globe adaugă la numele fișierelor una dintre următoarele extensii: „.ACRYPT”, „.GSupport[0-9]”, „.blackblock”, „.dll555”, „.duhust”, „.exploit”, „.frozen”, „.globe”, „.gsupport”, „.kyra”, „.purged”, „.raid[0-9]”, „.siri-down@india.com”, „.xtbl”, „.zendrz”, „.zendr[0-9]” sau „.hnyear”. În plus, unele dintre versiunile sale criptează și numele fișierului.

După criptarea fișierelor dvs., apare un mesaj similar (acesta se află într-un fișier „How to restore files.hta” sau „Read Me Please.hta”):

Fișierele criptate pot fi recunoscute prin extensia de fișier .[vote2024forjb@protonmail.com].encryptedJB. De asemenea, un fișier numit read_me.html este depus pe desktopul utilizatorului (vezi imaginea de mai jos).

Fișierele criptate vor avea una dintre următoarele extensii (dar nu se limitează doar la acestea): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

După criptarea fișierelor, un fișier text (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) apare pe desktopul utilizatorului. Diferite variante pot afișa, de asemenea, un mesaj care solicită o răscumpărare:

Fișierele criptate vor avea una dintre următoarele extensii: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org sau .gefickt.

După criptarea fișierelor dvs., va apărea unul dintre ecranele de mai jos:

Programul ransomware adaugă extensia „.MyChemicalRomance4EVER” după numele fișierului:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Programul ransomware creează, de asemenea, un fișier text denumit „UNLOCK_guiDE.txt” pe desktopul utilizatorului. Conținutul fișierului este mai jos.

Legion adaugă o variantă ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion sau .$centurion_legion@aol.com$.cbf la sfârșitul numelor fișierelor. (de exemplu, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

După criptarea fișierelor dvs., Legion schimbă tapetul de pe desktop și afișează o fereastră pop-up, precum aceasta:

NoobCrypt nu modifică numele fișierului. Cu toate acestea, fișierele care sunt criptate nu pot fi deschise cu aplicația asociată.

După criptarea fișierelor dvs., apare un mesaj similar (acesta se află într-un fișier „ransomed.html” de pe desktopul utilizatorului):

Fișierele criptate pot fi recunoscute după una dintre aceste extensii de fișier:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

De asemenea, un fișier cu o notă de răscumpărare este depus pe desktopul utilizatorului, cu unul dintre aceste nume:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Fișierele criptate pot fi recunoscute după una din aceste extensii:
.mallox
.exploit
.architek
.brg
.carone

În fiecare folder care conține cel puțin un fișier criptat, există și un fișier cu nota de răscumpărare denumit RECOVERY INFORMATION.txt (a se vedea imaginea de mai jos).

Stampado adaugă extensia .locked la fișierele criptate. Unele variante criptează și numele fișierului în sine, astfel că numele fișierului criptat poate arăta fie ca document.docx.locked, fie ca 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

După finalizarea criptării, va apărea următorul ecran:

SZFLocker adaugă .szf la sfârșitul numelor fișierelor. (de exemplu, Thesis.doc = Thesis.doc.szf)

Când încercați să deschideți un fișier criptat, SZFLocker afișează următorul mesaj (în limba poloneză):

Cea mai recentă versiune a TeslaCrypt nu vă redenumește fișierele.

După criptarea fișierelor dvs., TeslaCrypt afișează o variantă a următorului mesaj:

Fișierele criptate vor avea una dintre aceste extensii:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

După criptarea fișierelor dvs., sunt create mai multe fișiere pe desktopul utilizatorului, cu numele README1.txt până la README10.txt. Ele sunt în diverse limbi și conțin acest text:

De asemenea, fundalul desktopului utilizatorului este schimbat și arată ca în imaginea de mai jos:

Programul ransomware adaugă extensia „.~xdata~” la fișierele criptate.

În fiecare folder care conține cel puțin un fișier criptat, poate fi găsit fișierul „HOW_CAN_I_DECRYPT_MY_FILES.txt”. În plus, programul ransomware creează un fișier cheie cu un nume similar cu:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ în următoarele foldere:

• C:\

• C:\ProgramData

• Desktop

Fișierul „HOW_CAN_I_DECRYPT_MY_FILES.txt” conține următoarea notă de răscumpărare: