แรนซัมแวร์จะเพิ่มหนึ่งในนามสกุลต่อไปนี้เพื่อเข้ารหัสไฟล์:
.aes_ni
.aes256
.aes_ni_0day

ในแต่ละโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสอย่างน้อยหนึ่งไฟล์ อาจพบไฟล์ "!!! READ THIS - IMPORTANT !!!.txt" นอกจากนี้ แรนซัมแวร์ยังสร้างไฟล์คีย์โดยมีชื่อคล้ายกับ: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day ในโฟลเดอร์ C:\ProgramData

ไฟล์ “!!! READ THIS - IMPORTANT !!!.txt” จะมีข้อความเรียกค่าไถ่ต่อไปนี้:

ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลว่า ".Alcatraz"

หลังจากเข้ารหัสไฟล์ของคุณแล้ว จะมีข้อความที่คล้ายกันปรากฏขึ้น (ข้อความจะปรากฏในไฟล์ชื่อ "ransomed.html" ในเดสก์ท็อปของผู้ใช้):

Apocalypse จะเพิ่มนามสกุล .encrypted, .FuckYourData, .locked, .Encryptedfile หรือ .SecureCrypted ต่อท้ายชื่อไฟล์ (เช่น Thesis.doc = Thesis.doc.locked)

การเปิดไฟล์ที่มีนามสกุล .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt หรือ .Where_my_files.txt (เช่น Thesis.doc.How_To_Decrypt.txt) จะแสดงข้อความนี้ในรูปแบบต่างๆ:

ไฟล์ที่ถูกเข้ารหัสจะสามารถดูได้จากนามสกุลเหล่านี้:
.ATOMSILO
.lockfile

ในทุกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสอย่างน้อยหนึ่งไฟล์ คุณยังจะพบไฟล์บันทึกเรียกค่าไถ่ที่ชื่อ README-FILE-%ComputerName%-%Number%.hta หรือ LOCKFILE-README-%ComputerName%-%Number%.hta และอื่นๆ :

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

เมื่อเข้ารหัสไฟล์ Babuk จะเติมส่วนขยายต่อไปนี้ต่อท้ายชื่อไฟล์:
.babuk
.babyk
.doydo

คุณจะพบไฟล์ที่เข้ารหัสในแต่ละโฟลเดอร์อย่างน้อยหนึ่งไฟล์ โดยไฟล์ Help Restore Your Files.txt จะพบพร้อมเนื้อหาต่อไปนี้:

BadBlock ไม่เปลี่ยนชื่อไฟล์ของคุณ

หลังจากเข้ารหัสไฟล์ของคุณแล้ว BadBlock จะแสดงข้อความใดข้อความหนึ่งดังต่อไปนี้ (จากไฟล์ชื่อ Help Decrypt.html):

Bart จะเพิ่มนามสกุล .bart.zip ต่อท้ายชื่อไฟล์ (เช่น Thesis.doc = Thesis.docx.bart.zip) โดยเป็นไฟล์ ZIP ที่เข้ารหัสไว้ซึ่งเก็บไฟล์ดั้งเดิมของคุณไว้โดยถาวร

หลังจากเข้ารหัสไฟล์ของคุณแล้ว Bart จะเปลี่ยนภาพพื้นหลังเดสก์ท็อปของคุณให้เป็นรูปภาพที่คล้ายกับรูปภาพต่อไปนี้ คุณสามารถใช้ข้อความบนรูปภาพนี้เพื่อระบุว่าเป็น Bart ได้ โดยข้อความจะเก็บในไฟล์ชื่อ recover.bmp และ recover.txt ซึ่งอยู่บนเดสก์ท็อป

แรนซัมแวร์จะเพิ่มนามสกุลต่อไปนี้: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

แรนซัมแวร์ยังสร้างไฟล์ข้อความชื่อ "Read Me.txt" ในแต่ละโฟลเดอร์ เนื้อหาของไฟล์อยู่ด้านล่าง

ไฟล์ที่เข้ารหัสจะมีรูปแบบต่อไปนี้:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

นอกจากนี้ยังสามารถพบไฟล์ใดไฟล์หนึ่งต่อไปนี้ได้บนพีซี
Key.dat on %USERPROFILE%\Desktop
1.bmp ใน %USERPROFILE%\AppData\Roaming
#_README_#.inf หรือ !#_DECRYPT_#!.inf ในแต่ละโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสอย่างน้อยหนึ่งไฟล์

หลังจากเข้ารหัสไฟล์ของคุณ ภาพพื้นหลังเดสก์ท็อปของคุณจะเปลี่ยนเป็นภาพต่อไปนี้:

คุณอาจเห็นข้อความเรียกค่าไถ่อย่างใดอย่างหนึ่งต่อไปนี้อีกด้วย:

Crypt888 เพิ่ม Lock ที่ด้านหน้าชื่อไฟล์ (เช่น Thesis.doc = Lock.Thesis.doc)

หลังจากเข้ารหัสไฟล์ของคุณแล้ว Crypt888 จะเปลี่ยนภาพพื้นหลังเดสก์ท็อปของคุณให้เป็นรูปภาพใดรูปภาพหนึ่งต่อไปนี้

ไฟล์ที่เข้ารหัสจะมีหนึ่งในนามสกุลต่อไปนี้: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl หรือ .MOLE

อาจพบไฟล์ต่อไปนี้บนเครื่องพีซีหลังจากเข้ารหัสไฟล์แล้ว:

ไฟล์ที่ถูกเข้ารหัสสามารถมีนามสกุลได้มากมาย ได้แก่:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

หลังจากเข้ารหัสไฟล์ของคุณแล้ว ข้อความใดข้อความหนึ่งต่อไปนี้จะปรากฏขึ้น (ดูด้านล่าง) ข้อความดังกล่าวจะอยู่ใน "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" หรือ "HOW TO DECRYPT YOUR DATA.txt" บนเดสก์ท็อปของผู้ใช้ นอกจากนี้พื้นหลังเดสก์ท็อปจะเปลี่ยนเป็นหนึ่งในภาพด้านล่าง

แรนซัมแวร์จะเพิ่มคำว่า “encrypTile” ลงในชื่อไฟล์:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

แรนซัมแวร์ยังสร้างไฟล์ใหม่สี่ไฟล์บนเดสก์ท็อปของผู้ใช้อีกด้วย ชื่อของไฟล์เหล่านี้จะได้รับการแปลเป็นภาษาท้องถิ่น นี่คือเวอร์ชั่นภาษาอังกฤษของไฟล์:

ในขณะที่ทำงาน แรนซัมแวร์จะป้องกันไม่ให้ผู้ใช้เรียกใช้เครื่องมือใดๆ ที่อาจลบมันออกไปได้อยู่ตลอดเวลา โปรดดู โพสต์บนบล็อก สำหรับคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการเรียกใช้ตัวถอดรหัสในกรณีที่แรนซัมแวร์ทำงานบนพีซีของคุณ

ไฟล์ที่เข้ารหัสจะมีนามสกุลว่า ".crypt"

หลังจากเข้ารหัสไฟล์ของคุณแล้ว จะมีการสร้างไฟล์หลายไฟล์บนเดสก์ท็อปของผู้ใช้โดยมีชื่อรูปแบบ: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. ทุกไฟล์จะเหมือนกัน โดยมีข้อความต่อไปนี้:

พิเศษ: เนื่องจากตัวถอดรหัส AVAST เป็นแอปพลิเคชั่นของ Windows จึงจำเป็นต้องติดตั้งชั้นการจำลองบน Mac (WINE, CrossOver) สำหรับข้อมูลเพิ่มเติม โปรดอ่านโพสต์บนบล็อกของเรา

ไฟล์ที่เข้ารหัสจะมีหนึ่งในนามสกุลนี้:
.FONIX,
.XINOF

หลังจากเข้ารหัสไฟล์ในอุปกรณ์ของเหยื่อแล้ว แรนซัมแวร์จะแสดงหน้าจอต่อไปนี้:

แรนซัมแวร์นี้จะเพิ่มนามสกุลที่เป็นไปได้หลายรายการ:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (ตัวอักษรจะสุ่ม)

แรนซัมแวร์ยังสร้างไฟล์ข้อความชื่อ "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" หรือ "%RandomLetters%-MANUAL.txt" ในแต่ละโฟลเดอร์ เนื้อหาของไฟล์อยู่ด้านล่าง

แรนซัมแวร์รุ่นที่ใหม่กว่ายังสามารถตั้งค่ารูปต่อไปนี้ไปยังเดสก์ท็อปของผู้ใช้ได้:

Globe จะเพิ่มนามสกุลใดๆ ต่อไปนี้ลงในชื่อไฟล์: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" หรือ ".hnyear" นอกจากนี้ Globe บางเวอร์ชั่นยังเข้ารหัสชื่อไฟล์อีกด้วย

หลังจากเข้ารหัสไฟล์ของคุณแล้ว จะมีข้อความที่คล้ายกันปรากฏขึ้น (ข้อความจะปรากฏในไฟล์ชื่อ "How to restore files.hta" หรือ "Read Me Please.hta"):

ไฟล์ที่ถูกเข้ารหัสจะสามารถดูได้จากนามสกุลไฟล์ .[vote2024forjb@protonmail.com].encryptedJB และยังจะมีไฟล์ชื่อ read_me.html วางอยู่ที่เดสก์ท็อปของผู้ใช้อีกด้วย (โปรดดูรูปภาพด้านล่าง)

ไฟล์ที่เข้ารหัสจะมีหนึ่งนามสกุลต่อไปนี้ (แต่ไม่จำกัดเพียงแค่): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed

หลังจากเข้ารหัสไฟล์แล้ว ไฟล์ข้อความ (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) จะปรากฏขึ้นบนเดสก์ท็อปของผู้ใช้ หลายรูปแบบยังสามารถแสดงข้อความเรียกค่าไถ่ได้เช่นกัน:

ไฟล์ที่เข้ารหัสจะมีหนึ่งในนามสกุลต่อไปนี้: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org หรือ .gefickt

หลังจากเข้ารหัสไฟล์ของคุณแล้ว หนึ่งในหน้าจอด้านล่างจะปรากฏขึ้น:

แรนซัมแวร์นี้จะเพิ่มนามสกุล “.MyChemicalRomance4EVER” ตามหลังชื่อไฟล์:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

แรนซัมแวร์ยังสร้างไฟล์ข้อความชื่อ "UNLOCK_guiDE.txt" บนเดสก์ท็อปของผู้ใช้อีกด้วย เนื้อหาของไฟล์อยู่ด้านล่าง

Legion จะเพิ่ม ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion หรือ .$centurion_legion@aol.com$.cbf อย่างใดอย่างหนึ่งต่อท้ายชื่อไฟล์ (เช่น Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

หลังจากเข้ารหัสไฟล์ของคุณแล้ว Legion จะเปลี่ยนภาพพื้นหลังเดสก์ท็อปของคุณและแสดงป๊อปอัปดังตัวอย่างต่อไปนี้:

NoobCrypt จะไม่เปลี่ยนชื่อไฟล์ แต่ไฟล์ที่ถูกเข้ารหัสจะไม่สามารถเปิดได้ด้วยแอพพลิเคชั่นที่ใช้สำหรับไฟล์นั้นๆ

หลังจากเข้ารหัสไฟล์ของคุณแล้ว จะมีข้อความที่คล้ายกันปรากฏขึ้น (ข้อความจะปรากฏในไฟล์ชื่อ "ransomed.html" ในเดสก์ท็อปของผู้ใช้):

ไฟล์ที่ถูกเข้ารหัสจะสามารถดูได้จากนามสกุลไฟล์เหล่านี้:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

และยังจะมีบันทึกเรียกค่าไถ่วางอยู่ที่เดสก์ท็อปของผู้ใช้อีกด้วย โดยจะมีชื่อใดชื่อหนึ่งดังต่อไปนี้:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

ไฟล์ที่ถูกเข้ารหัสจะสามารถดูได้จากนามสกุลเหล่านี้:
.mallox
.exploit
.architek
.brg
.carone

โดยจะมีบันทึกเรียกค่าไถ่ชื่อ RECOVERY INFORMATION.txt (โปรดดูรูปภาพด้านล่าง) ในแต่ละโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสอย่างน้อยหนึ่งไฟล์อีกด้วย

Stampado จะเพิ่มนามสกุล .locked ลงในไฟล์ที่เข้ารหัส บางรูปแบบยังเข้ารหัสชื่อไฟล์ของตัวเอง ด้วยเหตุนี้ ชื่อไฟล์ที่เข้ารหัสอาจมีลักษณะนี้document.docx.locked หรือ 85451F3CCCE348256B549378804965CD8564065FC3F8.locked

หลังจากการเข้ารหัสเสร็จสมบูรณ์แล้ว หน้าจอต่อไปนี้จะปรากฏขึ้น:

SZFLocker จะเพิ่มนามสกุล .szf ต่อท้ายชื่อไฟล์ (เช่น Thesis.doc = Thesis.doc.szf)

เมื่อคุณพยายามเปิดไฟล์ที่ถูกเข้ารหัส SZFLocker จะแสดงข้อความต่อไปนี้ (ในภาษาโปแลนด์):

TeslaCrypt เวอร์ชั่นล่าสุดจะไม่เปลี่ยนชื่อไฟล์ของคุณ

หลังจากเข้ารหัสไฟล์ของคุณแล้ว TeslaCrypt จะแสดงข้อความใดข้อความหนึ่งต่อไปนี้:

ไฟล์ที่เข้ารหัสจะมีหนึ่งในนามสกุลนี้:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

หลังจากเข้ารหัสไฟล์ของคุณแล้ว จะมีการสร้างไฟล์หลายไฟล์บนเดสก์ท็อปของผู้ใช้โดยมีชื่อ README1.txt ถึง README10.txt ซึ่งจะมีในหลายภาษา ซึ่งรวมถึงข้อความนี้:

พื้นหลังของผู้ใช้ยังจะถูกเปลี่ยนและจะดูเหมือนรูปภาพด้านล่างนี้

แรนซัมแวร์นี้จะเพิ่มนามสกุล ".~xdata~" ลงในไฟล์ที่เข้ารหัส

ในแต่ละโฟลเดอร์ที่มีไฟล์ที่เข้ารหัสอย่างน้อยหนึ่งไฟล์ อาจพบไฟล์ "HOW_CAN_I_DECRYPT_MY_FILES.txt" นอกจากนี้ แรนซัมแวร์ยังสร้างไฟล์คีย์โดยมีชื่อคล้ายกับ:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ ในโฟลเดอร์ต่อไปนี้:

• C:\

• C:\ProgramData

• Desktop

ไฟล์ “HOW_CAN_I_DECRYPT_MY_FILES.txt” จะมีข้อความเรียกค่าไถ่ต่อไปนี้: