该勒索软件会在加密文件的名称后面加上以下其中一种扩展名：
.aes_ni
.aes256
.aes_ni_0day

在包含至少一个加密文件的文件夹中，都能找到，名为“!!! READ THIS - IMPORTANT !!!.txt”的文件。此外，勒索软件还会创建一个类似于以下文件名称的密钥文件：[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

文件“!!! READ THIS - IMPORTANT !!!.txt”内含以下勒索内容：

被加密文件的扩展名是“.Alcatraz”。

加密文件之后会出现类似的消息（位于用户桌面的“ransomed.html”文件中）：

Apocalypse 会在文件名后添加 .encrypted、.FuckYourData、.locked、.Encryptedfile，或者.SecureCrypted。（比如，Thesis.doc = Thesis.doc.locked）

打开有扩展名.How_To_Decrypt.txt、.README.Txt、.Contact_Here_To_Recover_Your_Files.txt、.How_to_Recover_Data.txt，或.Where_my_files.txt（比如Thesis.doc.How_To_Decrypt.txt）的文件，会显示出这类消息的变体：

加密的文件可以通过这些扩展名之一来识别：
.ATOMSILO
.lockfile

在包含至少一个加密文件的文件夹中，都能找到，名为 README-FILE-%ComputerName%-%Number%.hta or LOCKFILE-README-%ComputerName%-%Number%.hta，例如：

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

加密文件时，Babuk 会将以下一种扩展名添加到文件名中：
.babuk
.babyk
.doydo

在每个至少包含一个加密文件的文件夹中，文件 Help Restore Your Files.txt 可以使用以下内容进行查找：

BadBlock 不会重命名您的文件。

加密文件之后，BadBlock 会向您显示这类消息中的一种（通过一个名为 Help Decrypt.html 的文件）：

Bart 会在文件名后添加 .bart.zip。（比如，Thesis.doc = Thesis.docx.bart.zip）这些加密的 ZIP 档案包含原始文件。

加密文件之后，Bart 会将您的桌面墙纸更改成类似于如下所示的图像。这张图像上的文本储存在桌面上的 recover.bmp 和 recover.txt 文件中，也可以用来识别 Bart。

该勒索软件会添加以下扩展名：.obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

勒索软件还会在每个文件中创建一个名为"Read Me.txt"的文本文件。文件内容如下。

加密文件的名称格式如下：
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

此外，在 PC 上至少包含一个加密文件的各个文件夹中还会存在以下文件
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf 或 !#_DECRYPT_#!.。

文件加密之后，桌面墙纸变成：

您还可能会看到以下勒索内容中的一种：

Crypt888 会在文件名开头添加 Lock.。（比如，Thesis.doc = Lock.Thesis.doc）

加密文件之后，Crypt888 会将您的桌面墙纸更改成如下所示中的一种。

加密的文件将具有如下扩展名之一：.CRYPTOSHIELD、.rdmk、.lesli、.scl、.code、.rmd、.rscl 或 .MOLE。

勒索软件加密文件后，您可能会在 PC 上找到下列文件：

被加密的文件会有很多不同的扩展名，包括：
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

加密文件之后，会出现如下所示消息中的一种（请见下方）。消息位于用户桌面上的“Decryption instructions.txt”、“Decryptions instructions.txt”、“README.txt”、"Readme to restore your files.txt” 或 “HOW TO DECRYPT YOUR DATA.txt”中。此外，桌面背景更改为以下图片之一。

勒索软件会在文件名称后面加上“encrypTile”：

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

勒索软件还会在用户桌面上创建四个新文件。文件名称均采用本地化语言，英文名称如下：

在运行时，勒索软件会主动阻止用户运行任何可能删除它的工具。有关如何在您的电脑有勒索软件运行的情况下运行解密器的详细说明，请参阅 博客帖子。

加密文件的扩展名是“.crypt”。

加密文件后，勒索软件会在用户桌面上创建多个文件，其名称变体为：DECRYPT.txt、HOW_TO_DECRYPT.txt、README.txt.它们都是相同的，包含以下文本信息：

注意：由于 AVAST 解密器是 Windows 应用程序，因此必需在 Mac (WINE, CrossOver) 上安装仿真层。欲了解更多信息，请阅读我们的 博客帖子：

加密的文件将具有如下扩展名之一：
.FONIX、
.XINOF

在受害者计算机上加密文件后，勒索软件显示以下屏幕：

该勒索软件可能会在加密文件的名称后面加上以下扩展名：
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo（排名不分先后）

勒索软件还会在每个文件夹中创建一个名为“GDCB-DECRYPT.txt”、“CRAB-DECRYPT.txt”、“KRAB_DECRYPT.txt”、“%RandomLetters%-DECRYPT.txt”或“%RandomLetters%-MANUAL.txt”的文本文件。文件内容如下。

该勒索软件的更新版本还可以将以下图像设置为用户桌面：

Globe 会添加如下所示扩展名中的一种到文件名称中：".ACRYPT"、".GSupport[0-9]"、".blackblock"、".dll555"、".duhust"、".exploit"、".frozen"、".globe"、".gsupport"、".kyra"、".purged"、".raid[0-9]"、".siri-down@india.com"、".xtbl"、".zendrz"、".zendr[0-9]"或".hnyear"。另外，它的一些版本也会加密文件名。

加密文件之后会出现类似消息（位于 “How to restore files.hta”或“Read Me Please.hta”文件中）：

加密文件可以通过 .[vote2024forjb@protonmail.com].encryptedJB 文件扩展名进行识别。此外，名为 read_me.html 的一个文件也会出现在用户桌面上（见下图所示）。

加密的文件将具有如下扩展名之一（但不限于下列扩展名）：.locked、.34xxx、.bloccato、.BUGSECCCC、.Hollycrypt、.lock、.saeid、.unlockit、.razy、.mecpt、.monstro、.lok、.암호화됨、.8lock8、.fucked、.flyper、.kratos、.krypted、.CAZZO、.doomed。

加密文件后，用户桌面上会出现一个文本文件（READ_IT.txt、MSG_FROM_SITULA.txt、DECRYPT_YOUR_FILES.HTML）。各种变体也会显示勒索消息：

加密的文件将具有如下扩展名之一：.kkk、.btc、.gws、.J、.encrypted、.porno、.payransom、.pornoransom、.epic、.xyz、.versiegelt、.encrypted、.payb、.pays、.payms、.paymds、.paymts、.paymst、.payrms、.payrmts、.paymrts、.paybtcs、.fun、.hush、.uk-dealer@sigaint.org 或 .gefickt。

勒索软件加密您的文件之后，会出现如下屏幕之一：

勒索软件会在文件名称后面加上扩展名“.MyChemicalRomance4EVER”：
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

勒索软件还会在用户桌面上创建名为"UNLOCK_guiDE.txt"的文本文件。文件内容如下。

Legion 会在文件名后添加扩展名“._23-06-2016-20-27-23_$f_tactics@aol.com$.legion”或“.enturion_legion@aol.com$.cbf ”。（比如，Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion）

加密文件之后，Legion 会更改您的桌面墙纸，并显示如下所示的弹出窗口：

NoobCrypt 不更改文件名。然而被加密的文件无法使用关联的应用程序打开。

加密文件之后会出现类似的消息（位于用户桌面的“ransomed.html”文件中）：

加密文件可以通过以下文件扩展名之一识别：

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

此外，用户桌面上也会出现下列名称之一的勒索信文件：

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

加密的文件可以通过这些扩展名之一来识别：
.mallox
.exploit
.architek
.brg
.carone

在包含至少一个加密文件的文件夹中，都有一个勒索信文件，名为 RECOVERY INFORMATION.txt（见下图）。

Stampado 会为已经加密的文件添加扩展名 .locked。一些 Stampado 变体还会加密文件名，加密后的文件名可能会为 document.docx.locked 或 85451F3CCCE348256B549378804965CD8564065FC3F8.locked。

加密完成后会出现以下屏幕：

SZFLocker 会在文件名后添加 .szf。（比如，Thesis.doc = Thesis.doc.szf）

当您试图打开一个加密文件，SZFLocker 会显示如下消息（波兰语）：

最新版本的 TeslaCrypt 不会重命名您的文件。

加密文件之后，TeslaCrypt 会显示如下消息的变体：

加密的文件将具有如下扩展名之一：
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

加密文件后，勒索软件会在用户桌面上创建多个文件，其名称为 README1.txt 至 README10.txt。它们使用不同的语言，包含以下文本：

用户的桌面背景也会更改，如下图所示：

该勒索软件会在加密文件的名称后面添加扩展名”.~xdata~”。

在包含至少一个加密文件的文件夹中，都能找到，名为"HOW_CAN_I_DECRYPT_MY_FILES.txt" 的文件。此外，勒索软件还会创建一个类似于以下文件名称的密钥文件：

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~，文件位于以下文件夹中：

• C:\

• C:\ProgramData

•桌面

文件“HOW_CAN_I_DECRYPT_MY_FILES.txt”内含以下勒索内容：