這種勒索軟體會在加密檔案後面加上下列副檔名：
.aes_ni
.aes256
.aes_ni_0day

在每個至少含有一個加密檔案的資料夾中，被害人都能找到 !!!READ THIS - IMPORTANT !!!.txt 檔案。此外，勒索軟體會建立檔名類似 [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day 的金鑰檔案，其所在位置為 C:\ProgramData 資料夾。

!!! READ THIS - IMPORTANT !!!.txt 檔案內含以下勒索字樣：

加密檔案會出現「.Alcatraz」副檔名。

將您的檔案加密之後，勒索軟體會顯示與以下範例相似的訊息 (位於使用者桌面上的「ransomed.html」檔案中)：

Apocalypse 會在檔案名稱結尾加上 .encrypted、.FuckYourData、.locked、.Encryptedfile 或 .SecureCrypted。(例如，Thesis.doc 會變成 Thesis.doc.locked)

開啟副檔名為 .How_To_Decrypt.txt、.README.Txt、.Contact_Here_To_Recover_Your_Files.txt、.How_to_Recover_Data.txt 或 .Where_my_files.txt (例如 Thesis.doc.How_To_Decrypt.txt) 的檔案，會顯示與以下範例相似的訊息：

您可以根據下列任一個副檔名辨識加密檔案：
.ATOMSILO
.lockfile

在每個至少含有一個加密檔案的資料夾中，被害人可以找到名為 README-FILE-%ComputerName%-%Number%.hta 或 LOCKFILE-README-%ComputerName%-%Number%.hta 的勒索字樣檔案，如：

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

將檔案加密時，Babuk 會在檔案名稱加上以下任一副檔名：
.babuk
.babyk
.doydo

在每個至少含有一個加密檔案的資料夾中，受害者可以找到 Help Restore Your Files.txt 檔案，當中的內容如下：

BadBlock 不會將您的檔案重新命名。

將您的檔案加密之後，BadBlock 會顯示以下其中一則訊息 (位於名稱為 Help Decrypt.html 的檔案中)：

Bart 會在檔案名稱結尾加上 .bart.zip (例如，Thesis.doc 會變成 Thesis.docx.bart.zip)。這些檔案是包含原始檔案的加密 ZIP 封存檔。

將您的檔案加密之後，Bart 會把桌面桌布變更為與下列範例相似的影像。影像上的文字也能幫助我們辨識 Bart。這段文字儲存在桌面上名稱為 recover.bmp 和 recover.txt 的檔案中。

該勒索軟體加上的副檔名如下：.obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

這種勒索軟體也會在每個資料夾中建立檔名為 Read Me.txt 的文字檔案。檔案內容如下。

加密檔案名稱的格式如下：
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

除此之外，被害人也會在 PC 上發現以下任一檔案
Key.dat：在 %USERPROFILE%\Desktop
1.bmp：在 %USERPROFILE%\AppData\Roaming
#_README_#.inf 或 !#_DECRYPT_#!.inf：在每個至少含有一個加密檔案的資料夾。

將檔案加密之後，勒索軟體會把您的桌面桌布變更為下列圖片：

您可能也會看到以下勒索字樣：

Crypt888 會在檔案名稱前面加上 Lock.。(例如，Thesis.doc 會變成 Lock.Thesis.doc)

將您的檔案加密之後，Crypt888 會把您的桌面桌布變更為下列其中一張圖片：

加密檔案會出現下列任一副檔名：.CRYPTOSHIELD、.rdmk、.lesli、.scl、.code、.rmd、.rscl 或 .MOLE。

檔案遭到加密後，您可以在 PC 中找到下列檔案：

加密檔案會出現許多不同的副檔名，包括：
.johnycryptor@hackermail.com.xtbl、
.ecovector2@aol.com.xtbl、
.systemdown@india.com.xtbl、
.Vegclass@aol.com.xtbl、
.{milarepa.lotos@aol.com}.CrySiS、
.{Greg_blood@india.com}.xtbl、
.{savepanda@india.com}.xtbl、
.{arzamass7@163.com}.xtbl、
.{3angle@india.com}.dharma、
.{tombit@india.com}.dharma、
.wallet

將您的檔案加密之後，勒索軟體會顯示以下其中一則訊息 (請參閱下文)。訊息位於使用者桌面上，名稱為 Decryption instructions.txt、Decryptions instructions.txt、README.txt、Readme to restore your files.txt 或 HOW TO DECRYPT YOUR DATA.txt。此外，勒索軟體也會將桌面背景變更為以下任一圖片。

這種勒索軟體會將「encrypTile」等字加入檔案名稱：

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

它也會在使用者桌面上建立四個新檔案。這些檔案名稱會經過本地化，本文提供的是英文版本：

執行過程中，勒索軟體會主動禁止使用者執行任何可能將其移除的工具。當您的 PC 上有勒索軟體運作時，如需如何執行解密工具的詳細指示，請參閱這篇部落格文章。

加密檔案會出現 .crypt 副檔名。

勒索軟體將檔案加密後，會在使用者桌面上建立幾個名稱不同的檔案，包括：DECRYPT.txt、HOW_TO_DECRYPT.txt、README.txt。這些檔案的內容相同，均含有以下文字訊息：

特別注意：由於 Avast 解密工具是 Windows 應用程式，因此您必須在 Mac 上安裝模擬層 (Wine、CrossOver)。如需詳細資訊，請參閱我們的部落格文章。

加密檔案會出現以下任一副檔名：
.FONIX,
.XINOF

在受害者的電腦上將檔案加密之後，勒索軟體會顯示以下畫面：

該勒索軟體可能會添加多種副檔名：
.GDCB,
.CRAB、
.KRAB、
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (字母為隨機)

這種勒索軟體也會在每個資料夾中建立檔名為「GDCB-DECRYPT.txt」、「CRAB-DECRYPT.txt」、「KRAB_DECRYPT.txt」、「%RandomLetters%-DECRYPT.txt」或「%RandomLetters%-MANUAL.txt」的文字檔案。檔案內容如下。

後續的勒索軟體版本還會將使用者桌面設定為下方影像：

Globe 會在檔案名稱結尾加上以下任一副檔名：.ACRYPT、.GSupport[0-9]、.blackblock、.dll555、.duhust、.exploit、.frozen、.globe、.gsupport、.kyra、.purged、.raid[0-9]、.siri-down@india.com、.xtbl、.zendrz、.zendr[0-9] 或 .hnyear。此外，勒索軟體的某些版本也會將檔案名稱加密。

將您的檔案加密之後，勒索軟體會顯示與以下範例相似的訊息 (位於「How to restore files.hta」或「Read Me Please.hta」檔案中)：

您可以根據以下副檔名辨識加密檔案：.[vote2024forjb@protonmail.com].encryptedJB。此外，該軟體會將名稱為 read_me.html 的檔案放到使用者的桌面上 (請參考下方影像)。

加密檔案會出現以下任一 (但不限於此) 副檔名：.locked、.34xxx、.bloccato、.BUGSECCCC、.Hollycrypt、.lock、.saeid、.unlockit、.razy、.mecpt、.monstro、.lok、.암호화됨、.8lock8、.fucked、.flyper、.kratos、.krypted、.CAZZO、.doomed。

將檔案加密之後，勒索軟體會在使用者的桌面顯示一個文字檔案 (READ_IT.txt、MSG_FROM_SITULA.txt、DECRYPT_YOUR_FILES.HTML)。不同的變種病毒也會顯示勒索訊息：

加密檔案會出現下列任一副檔名：.kkk、.btc、.gws、.J、.encrypted、.porno、.payransom、.pornoransom、.epic、.xyz、.versiegelt、.encrypted、.payb、.pays、.payms、.paymds、.paymts、.paymst、.payrms、.payrmts、.paymrts、.paybtcs、.fun、.hush、.uk-dealer@sigaint.org 或 .gefickt。

將檔案加密之後，勒索軟體會顯示以下其中一個畫面：

該勒索軟體會在檔案名稱結尾加上副檔名 .MyChemicalRomance4EVER：
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

這種勒索軟體也會在使用者桌面上建立檔名為 UNLOCK_guiDE.txt 的文字檔案。檔案內容如下。

Legion 會在檔案名稱結尾加上類似 ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion 或 .$centurion_legion@aol.com$.cbf 的字串 (例如，Thesis.doc 會變成 Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)。

將您的檔案加密之後，Legion 會變更您的桌面桌布並顯示與以下範例相似的快顯視窗：

NoobCrypt 不會改變檔案名稱。不過，使用者無法以相關聯的應用程式開啟加密檔案。

將您的檔案加密之後，勒索軟體會顯示與以下範例相似的訊息 (位於使用者桌面上的「ransomed.html」檔案中)：

您可以根據下列任一個副檔名辨識加密檔案：

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

此外，勒索軟體會將以下其中一個名稱的勒索信檔案放到使用者的桌面上：

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

您可以根據下列任一個副檔名辨識加密檔案：
.mallox
.exploit
.architek
.brg
.carone

在每個至少含有一個加密檔案的資料夾中，被害人可以找到名為 RECOVERY INFORMATION.txt 的勒索字樣檔案 (請參閱下方影像)。

Stampado 會為加密檔案加上 .locked　副檔名。有些變種病毒也會將檔案名稱本身加密，因此遭到加密的檔案看起來可能是 document.docx.locked 或 85451F3CCCE348256B549378804965CD8564065FC3F8.locked。

勒索軟體將檔案加密之後，可能會顯示以下畫面：

SZFLocker 會在檔案名稱結尾加上 .szf。(例如，Thesis.doc 會變成 Thesis.doc.szf)

當您試圖開啟加密檔案時，SZFLocker 會顯示下列訊息 (波蘭文)：

最新版本的 TeslaCrypt 不會將您的檔案重新命名。

將您的檔案加密之後，TeslaCrypt 會顯示與以下範例相似的訊息：

加密檔案會出現以下任一副檔名：
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

將檔案加密之後，勒索軟體會在使用者桌面上建立幾個名稱不同的檔案，從 README1.txt 到 README10.txt. 都有可能。檔案內容以不同語言寫成，包含以下文字：

此外，勒索軟體也會將使用者桌面背景變更為以下圖片：

這種勒索軟體會為加密檔案加上 .~xdata~　的副檔名。

在每個至少含有一個加密檔案的資料夾中，被害人可以找到 HOW_CAN_I_DECRYPT_MY_FILES.txt 檔案。此外，勒索軟體會建立檔名類似

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ 的金鑰檔案，所在資料夾如下：

• C:\

• C:\ProgramData

• 桌面

HOW_CAN_I_DECRYPT_MY_FILES.txt 檔案含有以下勒索字樣：