תוכנת הכופר מוסיפה את אחת הסיומות הבאות לקבצים המוצפנים:
.aes_ni
.aes256
.aes_ni_0day

בכל תיקייה שיש בה לפחות קובץ מוצפן אחד, אפשר למצוא את הקובץ '‎!!! READ THIS - IMPORTANT !!!.txt'. נוסף על כך, תוכנת הכופר יוצרת קובץ מפתח עם שם שדומה לשם הבא: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day בתיקייה C:\ProgramData.

הקובץ '‎!!! READ THIS - IMPORTANT !!!.txt' מכיל את הודעת הכופר הבאה:

הסיומת של הקבצים המוצפנים היא '‎.Alcatraz'.

אחרי הצפנת הקבצים מופיעה הודעה דומה להודעה הבאה (נמצאת בקובץ 'ransomed.html' בשולחן העבודה של המשתמש):

Apocalypse מוסיפה את הסיומות ‎.encrypted‏, ‎.FuckYourData‏, ‎.locked‏, ‎.Encryptedfile או ‎.SecureCrypted לשמות הקבצים. (למשל, Thesis.doc‏ -> Thesis.doc.locked)

פתיחת קובץ בעל סיומת ‎.How_To_Decrypt.txt‏, ‎.README.Txt‏, ‎.Contact_Here_To_Recover_Your_Files.txt‏, ‎.How_to_Recover_Data.txt או ‎.Where_my_files.txt (למשל, Thesis.doc.How_To_Decrypt.txt) תציג את ההודעה הבאה או הודעה דומה:

אפשר לזהות את הקבצים המוצפנים לפי אחת הסיומות הבאות:
.ATOMSILO
.lockfile

בכל תיקייה שיש בה לפחות קובץ מוצפן אחד, יש גם קובץ בקשת כופר בשם README-FILE-%ComputerName%-%Number%.hta או LOCKFILE-README-%ComputerName%-%Number%.hta, למשל:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

כש-Babuk מצפינה קבצים, היא מוסיפה לשם הקובץ את אחת הסיומות הבאות:
.babuk
.babyk
.doydo

בכל תיקייה שיש בה לפחות קובץ מוצפן אחד, אפשר למצוא את הקובץ Help Restore Your Files.txt המכיל את התוכן הבא:

BadBlock לא משנה את שמות הקבצים.

אחרי ש-BadBlock מצפינה את הקבצים, היא מציגה את אחת ההודעות הבאות (מקובץ ששמו Help Decrypt.html):

Bart מוסיפה את הסיומת ‎.bart.zip לשמות הקבצים. (למשל, Thesis.doc‏ -> Thesis.docx.bart.zip) אלה קובצי ZIP מוצפנים המכילים את הקבצים המקוריים.

אחרי ש-Bart מצפינה את הקבצים, היא משנה את הטפט בשולחן העבודה לתמונה דומה לתמונה למטה. גם הטקסט בתמונה הזאת יכול לעזור לזהות את Bart, והוא שמור בשולחן העבודה בקבצים בשם recover.bmp ו-recover.txt.

תוכנת הכופר הזאת מוסיפה את הסיומת הבאה: ‎.obfuscated

foobar.doc‏ -> foobar.doc.obfuscated
document.dat‏ -> document.dat.obfuscated
document.xls‏ -> document.xls.obfuscated
foobar.bmp‏ -> foobar.bmp.obfuscated

תוכנת הכופר גם יוצרת קובץ טקסט בשם 'Read Me.txt' בכל תיקייה. תוכן הקובץ מוצג למטה.

שמות הקבצים המוצפנים יהיו בפורמט הבא:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

נוסף על כך, אפשר למצוא במחשב את אחד הקבצים הבאים
Key.dat ב-‎%USERPROFILE%\Desktop
1.bmp ב-‎%USERPROFILE%\AppData\Roaming
#_README_#.inf או ‎!#_DECRYPT_#!.inf בכל תיקייה שיש בה לפחות קובץ מוצפן אחד.

אחרי ש-BTCWare מצפינה את הקבצים, היא משנה את הטפט בשולחן העבודה לטפט הבא:

ייתכן שגם יוצגו הודעות הכופר הבאות:

Crypt888 מוסיפה את הקידומת Lock.‎ לשמות הקבצים. (למשל, Thesis.doc‏ -> Lock.Thesis.doc)

אחרי ש-Crypt888 מצפינה את הקבצים, היא משנה את הטפט בשולחן העבודה לאחת התמונות הבאות:

לקבצים המוצפנים תהיה אחת הסיומות הבאות: ‎.CRYPTOSHIELD‏, ‎.rdmk‏, ‎.lesli‏, ‎.scl‏, ‎.code‏, ‎.rmd‏, ‎.rscl או ‎.MOLE.

אחרי הצפנת הקבצים ייתכן שיהיו במחשב הקבצים הבאים:

לקבצים המוצפנים יש סיומות רבות ומגוונות, כולל:
‎.johnycryptor@hackermail.com.xtbl,
‎.ecovector2@aol.com.xtbl,
‎.systemdown@india.com.xtbl,
‎.Vegclass@aol.com.xtbl,
‎.{milarepa.lotos@aol.com}.CrySiS,
‎.{Greg_blood@india.com}.xtbl,
‎.{savepanda@india.com}.xtbl,
‎.{arzamass7@163.com}.xtbl,
‎.{3angle@india.com}.dharma,
‎.{tombit@india.com}.dharma,
‎.wallet

אחרי הצפנת הקבצים מופיעה אחת ההודעות הבאות (ראה למטה). ההודעה נמצאת בקבצים 'Decryption instructions.txt‏', 'Decryptions instructions.txt‏', 'README.txt‏', 'Readme to restore your files.txt' או 'HOW TO DECRYPT YOUR DATA.txt' בשולחן העבודה של המשתמש. כמו כן, הרקע של שולחן העבודה משתנה לאחת התמונות הבאות.

תוכנת הכופר הזאת מוסיפה את המילה 'encrypTile' לשם הקובץ:

foobar.doc‏ -> foobar.docEncrypTile.doc

foobar3‏ -> foobar3EncrypTile

תוכנת הכופר גם יוצרת ארבעה קבצים חדשים בשולחן העבודה של המשתמש. שמות הקבצים מותאמים לשפה המקומית. הנה השמות באנגלית:

כשתוכנת הכופר רצה, היא מונעת מהמשתמש באופן פעיל להריץ כלים שיכולים, פוטנציאלית, להסיר אותה. עיין בפוסט בבלוג לקבלת הוראות הרצה מפורטות של המפענח במקרה שתוכנת הכופר רצה אצלך במחשב.

הסיומת של הקבצים המוצפנים היא ‎.crypt.

אחרי הצפנת הקבצים נוצרים כמה קבצים חדשים בשולחן העבודה של המשתמש, והם נקראים בשמות הבאים, או בשמות דומים: DECRYPT.txt‏, HOW_TO_DECRYPT.txt‏, README.txt. כולם זהים ומכילים את הודעת הטקסט הבאה:

מיוחד: מכיוון שהמפענחים של Avast הם יישומי Windows, צריך להתקין ב-Mac שכבת אמולציה (WINE‏, CrossOver). למידע נוסף קרא את הפוסט בבלוג שלנו.

לקבצים המוצפנים תהיה אחת הסיומות הבאות:
‎.FONIX,
‎.XINOF

אחרי הצפנת הקבצים במכשיר של הקורבן, תוכנת הכופר מציגה את המסך הבא:

תוכנת הכופר הזאת מוסיפה את אחת הסיומות הבאות:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (האותיות אקראיות)

תוכנת הכופר גם יוצרת קובץ טקסט בשם 'GDCB-DECRYPT.txt‏', 'CRAB-DECRYPT.txt‏', 'KRAB_DECRYPT.txt‏' %RandomLetters%-DECRYPT.txt' או '%RandomLetters%-MANUAL.txt' בכל תיקייה. תוכן הקובץ מוצג למטה.

גרסאות מאוחרות יותר של תוכנת הכופר עשויות גם להציג את התמונה הבאה בשולחן העבודה של המשתמש:

Globe מוסיפה לשם הקובץ את אחת הסיומות הבאות: '‎.ACRYPT‏', '‎.GSupport[0-9]‏', '‎.blackblock‏', '‎.dll555‏', '‎.duhust‏', '‎.exploit‏', '‎.frozen‏', '‎.globe‏', '‎.gsupport‏', '‎.kyra‏', '‎.purged‏', '‎.raid[0-9]‏', '‎.siri-down@india.com‏', '‎.xtbl‏', '‎.zendrz‏', '‎.zendr[0-9]' או '‎.hnyear'. נוסף על כך, יש לו גרסאות שמצפינות גם את שם הקובץ.

אחרי הצפנת הקבצים מופיעה הודעה דומה להודעה הבאה (נמצאת בקובץ 'How to restore files.hta' או 'Read Me Please.hta'):

אפשר לזהות את הקבצים המוצפנים לפי סיומת הקובץ ‎.[vote2024forjb@protonmail.com].encryptedJB. כמו כן, קובץ בשם read_me.html נשתל בשולחן העבודה של המשתמש (תמונה למטה).

לקבצים המוצפנים תהיה אחת הסיומות הבאות (אך יש גם סיומות אחרות): ‎.locked‏, ‎.34xxx‏, ‎.bloccato‏, ‎.BUGSECCCC‏, ‎.Hollycrypt‏, ‎.lock‏, ‎.saeid‏, ‎.unlockit‏, ‎.razy‏, ‎.mecpt‏, ‎.monstro‏, ‎.lok‏, ‎.암호화됨‏, ‎.8lock8‏, ‎.fucked‏, ‎.flyper‏, ‎.kratos‏, ‎.krypted‏, ‎.CAZZO‏, ‎.doomed.

אחרי הצפנת הקבצים מופיע קובץ טקסט (READ_IT.txt‏, MSG_FROM_SITULA.txt‏, DECRYPT_YOUR_FILES.HTML) בשולחן העבודה של המשתמש. וריאנטים שונים מציגים לפעמים את הודעת הכופר:

לקבצים המוצפנים תהיה אחת הסיומות הבאות: ‎.kkk‏, ‎.btc‏, ‎.gws‏, ‎.J‏, ‎.encrypted‏, ‎.porno‏, ‎.payransom‏, ‎.pornoransom‏, ‎.epic‏, ‎.xyz‏, ‎.versiegelt‏, ‎.encrypted‏, ‎.payb‏, ‎.pays‏, ‎.payms‏, ‎.paymds‏, ‎.paymts‏, ‎.paymst‏, ‎.payrms‏, ‎.payrmts‏, ‎.paymrts‏, ‎.paybtcs‏, ‎.fun‏, ‎.hush‏, ‎.uk-dealer@sigaint.org או ‎.gefickt.

אחרי הצפנת הקבצים, יופיע אחד המסכים הבאים:

תוכנת הכופר מוסיפה את הסיומת '‎.MyChemicalRomance4EVER' לשם הקובץ:
foobar.doc‏ -> foobar.doc.MyChemicalRomance4EVER
document.dat‏ -> document.dat.MyChemicalRomance4EVER

תוכנת הכופר גם יוצרת קובץ טקסט בשם 'UNLOCK_guiDE.txt' בשולחן העבודה של המשתמש. תוכן הקובץ מוצג למטה.

Legion מוסיפה סיומת שדומה ל-‎._23-06-2016-20-27-23_$f_tactics@aol.com$.legion או ל-‎.$centurion_legion@aol.com$.cbf לשמות הקבצים. (למשל, Thesis.doc‏ -> Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

אחרי הצפנת הקבצים, Legion משנה את הטפט בשולחן העבודה ומציגה הודעה קופצת בדומה להודעה הזאת:

NoobCrypt אינו משנה את שמות הקבצים. אבל בכל זאת אי אפשר לפתוח את הקבצים המוצפנים ביישום המקושר אליהם.

אחרי הצפנת הקבצים מופיעה הודעה דומה להודעה הבאה (נמצאת בקובץ 'ransomed.html' בשולחן העבודה של המשתמש):

אפשר לזהות את הקבצים המוצפנים לפי אחת מסיומות הקבצים הבאות:

• ‎.[cmd_bad@keemail.me].VIPxxx
• ‎.[cmd_bad@keemail.me].crypt
• ‎.[cmd_bad@keemail.me].CRYSTAL
• ‎.[KingKong2@tuta.io].crypt
• ‎.reofgv
• ‎.y9sx7x
• ‎.[black_privat@tuta.io].CRYSTAL
• ‎.BRINKS_PWNED
• ‎.9ten0p
• ‎.uo8bpy
• ‎.iml
• ‎.locked
• ‎.unlock
• ‎.secure[milleni5000@qq.com]
• ‎.secure
• ‎.61gutq
• ‎.hard

כמו כן, קובץ הערות כופר באחד השמות הבאים נשתל בשולחן העבודה של המשתמש:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

אפשר לזהות את הקבצים המוצפנים לפי אחת הסיומות הבאות:
‎.mallox
‎.exploit
‎.architek
‎.brg
‎.carone

בכל תיקייה שחש בה לפחות קובץ מוצפן אחד, יש גם קובץ הערות כופר בשם RECOVERY INFORMATION.txt (ראה בתמונה למטה).

Stampado מוסיפה את הסיומת '‎.locked' לקבצים המוצפנים. יש וריאנטים שגם מצפינים את שם הקובץ, ואז שם הקובץ המוצפן ייראה כך: document.docx.locked, או כך: 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

אחרי שההצפנה מסתיימת, מופיע המסך הבא:

SZFLocker מוסיפה את הסיומת ‎.szf לשמות הקבצים. (למשל, Thesis.doc‏ -> Thesis.doc.szf)

כשמנסים לפתוח קובץ מוצפן, SZFLocker מציגה את ההודעה הבאה (בפולנית):

הגרסה העדכנית ביותר של TeslaCrypt אינה משנה את שמות הקבצים.

אחרי ש-TeslaCrypt מצפינה את הקבצים, היא מציגה הודעה דומה להודעה הבאה:

לקבצים המוצפנים תהיה אחת הסיומות הבאות:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

אחרי הצפנת הקבצים נוצרים כמה קבצים חדשים בשולחן העבודה של המשתמש, בשמות README1.txt עד README10.txt.. הם בשפות שונות, וכוללים את הטקסט הזה:

גם רקע שולחן העבודה של המשתמשים משתנה ונראה כמו בתמונה למטה:

תוכנת הכופר מוסיפה את הסיומת '‎.~xdata~'‎ לקבצים המוצפנים.

בכל תיקייה שיש בה לפחות קובץ מוצפן אחד, אפשר למצוא את הקובץ "HOW_CAN_I_DECRYPT_MY_FILES.txt". נוסף על כך, תוכנת הכופר יוצרת קובץ מפתח עם שם שדומה לשם הבא:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~‎ בתיקיות הבאות:

• C:\‎

• C:\ProgramData

• Desktop

הקובץ 'HOW_CAN_I_DECRYPT_MY_FILES.txt' מכיל את הודעת הכופר הבאה: