Эта программа-вымогатель добавляет зашифрованным файлам одно из следующих расширений:
.aes_ni
.aes256
.aes_ni_0day

В каждой папке, где есть хотя бы один зашифрованный файл, появляется файл «!!! READ THIS - IMPORTANT !!!.txt». Кроме того, программа-вымогатель создает файл ключа с именем вроде следующего: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day в папке C:\ProgramData.

В файле «!!! READ THIS - IMPORTANT !!!.txt» содержится следующее сообщение о выкупе:

Зашифрованные файлы получают расширение .Alcatraz.

После зашифровки файлов программа отображает такое сообщение, которое находится в файле ransomed.html на рабочем столе:

Программа Apocalypse добавляет расширения .encrypted, .FuckYourData, .locked, .Encryptedfile или .SecureCrypted в конце имен файлов. (Например, вместо Thesis.doc файл будет называться Thesis.doc.locked.)

При открытии файла с расширением .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt или .Where_my_files.txt (например, Thesis.doc.How_To_Decrypt.txt) появится сообщение примерно следующего содержания:

Зашифрованные файлы можно узнать по одному из следующих расширений:
.ATOMSILO
.lockfile

Каждая папка с как минимум одним зашифрованным файлом будет содержать также сообщение о выкупе с именем README-FILE-%ComputerName%-%Number%.hta или LOCKFILE-README-%ComputerName%-%Number%.hta. Примеры:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Зашифровывая файл, Babuk добавляет к имени файла одно из следующих расширений:
.babuk;
.babyk;
.doydo.

В каждой папке, где есть хотя бы один зашифрованный файл, создается файл Help Restore Your Files.txt следующего содержания:

Программа BadBlock не переименовывает файлы.

Зашифровав ваши файлы, троянец BadBlock отображает одно из следующих сообщений (на примере файла Help Decrypt.html):

Программа Bart добавляет текст .bart.zip в конце имен файлов (например, вместо Thesis.doc файл будет называться Thesis.docx.bart.zip). В этом зашифрованном ZIP-архиве содержатся исходные файлы.

После зашифровки файлов программа Bart изменяет фон рабочего стола, как показано ниже. С помощью текста на этом изображении также можно распознать программу Bart. Текст хранится на рабочем столе в файлах recover.bmp и recover.txt.

Эта программа-вымогатель добавляет следующее расширение: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Она также создает файл с именем Read Me.txt в каждой папке. Ниже приведено содержимое этого файла.

Имена зашифрованных файлов приобретают такой формат:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Кроме того, на компьютере появляется один из следующих файлов:
Key.dat на рабочем столе %USERPROFILE%\Desktop
1.bmp в папке %USERPROFILE%\AppData\Roaming
#_README_#.inf или !#_DECRYPT_#!.inf в каждой папке, где есть хотя бы один зашифрованный файл.

После зашифровки файлов фон рабочего стола принимает следующий вид:

Может также отображаться одно из следующих сообщений о выкупе:

Crypt888 добавляет Lock. в начало имени файлов. Например, вместо Thesis.doc файл будет называться Lock.Thesis.doc.

Зашифровав ваши файлы, программа Crypt888 меняет фон рабочего стола на один из вариантов ниже.

Зашифрованные файлы получают одно из следующих расширений: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl или .MOLE.

После зашифровки файлов на ПК можно найти следующие файлы:

Зашифрованные файлы имеют одно из следующих расширений:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Зашифровав ваши файлы, программа отображает одно из следующих сообщений. Сообщение находится в файле с именем Decryption instructions.txt, Decryptions instructions.txt, README.txt, Readme to restore your files.txt или HOW TO DECRYPT YOUR DATA.txt на рабочем столе пользователя. Кроме того, фон рабочего стола заменяется на одно из приведенных ниже изображений.

Эта программа-вымогатель добавляет к имени файла слово encrypTile:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Кроме того, на рабочем столе пользователя создается четыре новых файла. Имена этих файлов локализуются, ниже приведены их английские версии:

Пока эта программа-вымогатель работает, она активно препятствует запуску любых средств, потенциально способных ее удалить. В этой публикации в блоге приведены более подробные инструкции по запуску дешифратора в случае заражения ПК этой программой.

Зашифрованные файлы получают расширение .crypt.

После зашифровки файлов на рабочем столе пользователя создается несколько файлов, которые могут называться DECRYPT.txt, HOW_TO_DECRYPT.txt или README.txt. Они все идентичны и содержат следующее текстовое сообщение:

Особые требования: поскольку дешифраторы AVAST — это приложения для ОС Windows, на Mac необходимо установить эмулятор (WINE, CrossOver). Подробнее о том, как это сделать, читайте в нашей публикации в блоге.

Зашифрованные файлы получают одно из следующих расширений:
.FONIX
.XINOF

Зашифровав файлы на устройстве жертвы, программа-вымогатель отображала следующий экран:

Эта программа-вымогатель может добавлять разные расширения:
.GDCB
.CRAB
.KRAB
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (случайный набор букв)

Она также создает текстовый файл с именем GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB_DECRYPT.txt, %RandomLetters%-DECRYPT.txt или %RandomLetters%-MANUAL.txt в каждой папке. Ниже приведено содержимое этого файла.

Более поздние версии программы могут также устанавливать на рабочий стол пользователя следующее изображение:

Программа Globe добавляет одно из следующих расширений к названию файла: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9] или .hnyear. Более того, некоторые версии программы зашифровывают само название файла.

После зашифровки файлов программа отображает такое сообщение, которое находится в файле How to restore files.hta или Read Me Please.hta:

Зашифрованные файлы можно распознать по расширению их имен: [vote2024forjb@protonmail.com].encryptedJB. На рабочем столе пользователя также появляется файл под названием read_me.html (см. изображение ниже).

Зашифрованные файлы получают одно из следующих расширений (но могут иметь и другие): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Когда файлы зашифрованы, на рабочем экране пользователя появляется текстовый файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Различные варианты могут также выводить сообщение с требованием выкупа:

Зашифрованные файлы получают одно из следующих расширений: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org или .gefickt.

Когда файлы будут зашифрованы, отобразится один из экранов, представленных ниже:

Эта программа-вымогатель добавляет после имени файла расширение .MyChemicalRomance4EVER:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

На рабочем столе пользователя также создается файл UNLOCK_guiDE.txt. Ниже приведено содержимое этого файла.

Программа Legion добавляет нечто вроде ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion или .$centurion_legion@aol.com$.cbf в конце имен файлов (Например, вместо Thesis.doc файл будет называться Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion.)

Зашифровав ваши файлы, программа Legion меняет фон рабочего стола, при этом появляется всплывающее окно, аналогичное этому:

Программа NoobCrypt не меняет название файлов. Однако, зашифрованные файлы нельзя открыть программами по умолчанию.

После зашифровки файлов программа отображает такое сообщение, которое находится в файле ransomed.html на рабочем столе:

Зашифрованные файлы можно узнать по одному из следующих расширений:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

На рабочем столе пользователя также появляется сообщение с требованием выкупа под одним из следующих названий:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Зашифрованные файлы можно узнать по одному из следующих расширений:
.mallox
.exploit
.architek
.brg
.carone

В каждой папке, где есть хотя бы один зашифрованный файл, появляется также сообщение о выкупе под названием RECOVERY INFORMATION.txt (см. изображение ниже).

Программа Stampado добавляет зашифрованным файлам расширение .locked. Некоторые варианты также шифруют само имя файла, поэтому имя зашифрованного файла может иметь вид document.docx.locked или 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

После завершения шифрования отобразится следующий экран:

Программа SZFLocker добавляет .szf в конце файловых имен (например, вместо Thesis.doc файл будет называться Thesis.doc.szf).

При попытке открыть зашифрованный файл программа SZFLocker отображает следующее сообщение (на польском языке):

Последняя версия программы TeslaCrypt не переименовывает ваши файлы.

Зашифровав ваши файлы, программа TeslaCrypt отображает нечто вроде следующего сообщения:

Зашифрованные файлы получают одно из следующих расширений:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

После зашифровки файлов на рабочем столе пользователя создается несколько файлов с именем в диапазоне от README1.txt до README10.txt. В них на разных языках приведен следующий текст:

Фон рабочего стола пользователя заменяется на изображение, показанное ниже:

Эта программа добавляет зашифрованным файлам расширение .~xdata~.

В каждой папке, где есть хотя бы один зашифрованный файл, появляется файл HOW_CAN_I_DECRYPT_MY_FILES.txt. Кроме того, программа-вымогатель создает файл ключа с именем вроде следующего:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ в следующих папках:

• C:\

• C:\ProgramData

• Рабочий стол

В файле HOW_CAN_I_DECRYPT_MY_FILES.txt содержится следующее сообщение о выкупе: