Програма-вимагач додає до зашифрованих файлів одне з таких розширень:
.aes_ni
.aes256
.aes_ni_0day

У кожній папці з принаймні одним зашифрованим файлом міститься файл «!!! READ THIS - IMPORTANT !!!.txt». Крім того, програма-вимагач створює файл ключа з назвою на кшталт [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day у папці C:\ProgramData.

Файл «!!! READ THIS - IMPORTANT !!!.txt» містить вимогу викупу такого змісту:

Зашифровані файли мають розширення .Alcatraz.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою ransomed.html на робочому столі:

Програма Apocalypse додає в кінці назви файлу такий текст: .encrypted, .FuckYourData, .locked, .Encryptedfile або .SecureCrypted (наприклад, Thesis.doc = Thesis.doc.locked).

Якщо відкрити файл із розширенням .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt або .Where_my_files.txt (наприклад, Thesis.doc.How_To_Decrypt.txt), відобразиться приблизно таке повідомлення:

Зашифровані файли можна розпізнати за такими розширеннями:
.ATOMSILO
.lockfile

Кожна папка з принаймні одним зашифрованим файлом міститиме також повідомлення про викуп із назвою README-FILE-%ComputerName%-%Number%.hta або LOCKFILE-README-%ComputerName%-%Number%.hta, наприклад:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Шифруючи файл, програма Babuk додає до імені файлу одне з таких розширень:
.babuk
.babyk
.doydo

У кожній папці з принаймні одним зашифрованим файлом міститься файл Help Restore Your Files.txt із таким вмістом:

Програма BadBlock не змінює назви файлів.

Коли файли зашифровано, програма BadBlock відображає одне з таких повідомлень (з файлу з назвою Help Decrypt.html):

Програма Bart додає в кінець назви файлу текст .bart.zip (наприклад, Thesis.doc = Thesis.docx.bart.zip). Це зашифровані архіви ZIP, у яких зберігаються оригінали файлів.

Коли файли зашифровано, програма Bart змінює фоновий рисунок робочого стола на одне з таких зображень. Про зараження комп’ютера програмою Bart свідчить також наведений нижче текст, що міститься у файлах робочого стола з назвою recover.bmp і recover.txt.

Програма-вимагач додає таке розширення: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Програма-вимагач також створює в кожній папці текстовий файл із назвою Read Me.txt. Вміст файлу показано нижче.

Назви зашифрованих файлів мають такий формат:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Окрім цього, на комп’ютері з’являється один із зазначених нижче файлів.
Key.dat в %ІМ’Я КОРИСТУВАЧА%\Робочий стіл
1.bmp в %ІМ’Я КОРИСТУВАЧА%\AppData\Roaming
#_README_#.inf або !#_DECRYPT_#!.inf у кожній папці з принаймні одним зашифрованим файлом.

Після шифрування файлів фон робочого стола змінюється на такий:

Можна також побачити одне з таких повідомлень:

Crypt888 додає в початок імені файлу текст Lock. (наприклад, файл Thesis.doc перейменовується на Lock.Thesis.doc).

Коли файли зашифровано, програма Crypt888 змінює фоновий рисунок робочого стола на одне з таких зображень.

Зашифровані файли матимуть такі розширення: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl або .MOLE.

Коли файли зашифровано, на комп’ютері можна знайти такі файли:

Зашифровані файли можуть мати різні розширення, як-от:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Коли файли зашифровано, з’являється одне із зазначених далі повідомлень. Повідомлення міститься у файлі Decryption instructions.txt, Decryptions instructions.txt, README.txt, Readme to restore your files.txt або HOW TO DECRYPT YOUR DATA.txt на робочому столі користувача. Фон робочого стола також змінюється на одне із зображень, указаних нижче.

Програма-вимагач додає до назви файлу слово «encrypTile»:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Програма-вимагач також створює на робочому столі чотири нових файли. Їхні назви локалізуються. Далі наведено варіант англійською мовою.

Під час своєї роботи програма-вимагач активно перешкоджає запуску користувачем будь-яких засобів, які потенційно можуть її видалити. Детальні інструкції із запуску дешифратора, якщо на комп’ютері працює програма-вимагач, див. в публікації в блозі.

Зашифровані файли мають розширення .crypt.

Після шифрування файлів на робочому столі з’являється кілька нових файлів із назвами на кшталт DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Вони однакові та містять таке текстове повідомлення:

Особливість. Оскільки дешифратори AVAST — програми для ОС Windows, для Mac необхідно встановити емулятор (WINE, CrossOver). Докладніші відомості див. в нашій публікації в блозі.

Зашифровані файли матимуть такі розширення:
.FONIX
.XINOF

Зашифрувавши файли на пристрої, програма-вимагач відображає такий екран:

Програма-вимагач додає кілька файлових розширень:
.GDCB
.CRAB
.KRAB
.%ВипадковіЛітери%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (випадкові літери)

Програма-вимагач також створює в кожній папці текстовий файл із назвою GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB_DECRYPT.txt, %ВипадковіЛітери%-DECRYPT.txt або %ВипадковіЛітери%-MANUAL.txt. Вміст файлу показано нижче.

Останні версії програми також можуть установлювати таке зображення як фон робочого стола користувача:

Програма Globe додає одне з таких розширень до назви файлу: .ACRYPT, .GSupport[0-9], .blackblock, .dll555, .duhust, .exploit, .frozen, .globe, .gsupport, .kyra, .purged, .raid[0-9], .siri-down@india.com, .xtbl, .zendrz, .zendr[0-9], або .hnyear. До того ж, деякі версії програми можуть зашифрувати саму назву файлу.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою How to restore files.hta або Read Me Please.hta:

Зашифровані файли можна розпізнати за розширенням: .[vote2024forjb@protonmail.com].encryptedJB. Крім того, на робочому столі користувача з’явиться файл із назвою read_me.html.

Зашифровані файли матимуть такі розширення (але можливі й інші варіанти): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Коли файли зашифровано, на робочому столі з’являється текстовий файл (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Різні варіанти також відображають вимогу викупу:

Зашифровані файли матимуть такі розширення: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org або .gefickt.

Коли файли зашифровано, з’являється один із зображених нижче екранів:

Програма-вимагач додає до назви файлу розширення MyChemicalRomance4EVER:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Програма-вимагач також створює на робочому столі користувача файл із назвою UNLOCK_guiDE.txt. Вміст файлу показано нижче.

Програма Legion додає в кінці назви файлу текст на кшталт: ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion або .$centurion_legion@aol.com$.cbf, (наприклад, файл Thesis.doc перейменовується на Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion).

Коли файли зашифровано, програма Legion змінює фоновий рисунок робочого стола та відображає таке спливаюче повідомлення:

Програма NoobCrypt не змінює назви файлів. Утім, зашифровані файли не можна відкрити за допомогою програм за замовчуванням.

Коли файли зашифровано, з’являється таке повідомлення, розміщене у файлі з назвою ransomed.html на робочому столі:

Зашифровані файли можна розпізнати за такими розширеннями:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

На робочому столі користувача також з’явиться повідомлення про викуп з однією з таких назв:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Зашифровані файли можна розпізнати за такими розширеннями:
.mallox
.exploit
.architek
.brg
.carone

Кожна папка з принаймні одним зашифрованим файлом міститиме також повідомлення про викуп із назвою RECOVERY INFORMATION.txt (див. зображення нижче).

Stampado додає розширення .locked до зашифрованих файлів. Деякі варіанти також зашифровують саму назву файлу, тому його назва може виглядати як document.docx.locked або 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Після завершення шифрування з’являється такий екран:

Програма SZFLocker додає в кінець назви файлу текст .szf (наприклад, Thesis.doc = Thesis.doc.szf).

У разі спроби відкрити зашифрований файл програма SZFLocker відображає таке повідомлення польською мовою:

Остання версія програми TeslaCrypt не змінює назви файлів.

Коли файли зашифровано, програма TeslaCrypt відображає одне з таких повідомлень:

Зашифровані файли матимуть такі розширення:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Після шифрування файлів на робочому столі з’являється кілька нових файлів із назвами від README1.txt до README10.txt. Вони містять такий текст різними мовами:

Робочий стіл користувача також змінюється й має такий вигляд, як показано на зображенні нижче.

Програма-вимагач додає до зашифрованих файлів розширення .~xdata~.

У кожній папці з принаймні одним зашифрованим файлом міститься файл HOW_CAN_I_DECRYPT_MY_FILES.txt. Крім того, програма-вимагач створює файл ключа з назвою на кшталт

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ в папках, зазначених нижче.

• C:\

• C:\ProgramData

• Робочий стіл

Файл HOW_CAN_I_DECRYPT_MY_FILES.txt містить повідомлення такого змісту: