Idinaragdag ng ransomware ang isa sa mga sumusunod na extension sa mga na-encrypt na fille:
.aes_ni
.aes256
.aes_ni_0day

Sa bawat folder, na may kahit man lang isang na-encrypt na file, makikita ang file na "!!! READ THIS - IMPORTANT !!!.txt".maaaring matagpuan. Karagdagan pa, gumagawa ang ransomware ng key file na may pangalang katulad ng: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

Ang file "!!! READ THIS - IMPORTANT !!!.txt" ay naglalaman sa sumusunod na tala ng ransom:

Ang mga ini-encrypt na file ay may ".Alcatraz" na extension.

Pagkatapos i-encrypt ang mga file mo, isang katulad na mensahe ang lumalabas (matatagpuan iyon sa file na "ransomed.html" sa desktop ng user):

Idinadagdag ng Apocalypse ang .encrypted, .FuckYourData, .locked, .Encryptedfile, o .SecureCrypted sa hulihan ng mga pangalan ng file. (hal, Thesis.doc = Thesis.doc.locked)

Ang pagbubukas ng isang file na may extension na .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt, o .Where_my_files.txt (hal., Thesis.doc.How_To_Decrypt.txt) ay magpapakita ng ibang anyo ng mensaheng ito:

Ang mga naka-encrypt na file ay maaaring makilala ng isa sa mga extensyon na ito:
.ATOMSILO
.lockfile

Sa bawat polder na may kahit isang naka-encrypt na file, mayroon ding ransom note file, na pinangalanang README-FILE-%ComputerName%-%Number%.hta o LOCKFILE-README-%ComputerName%-%Number%.hta, hal.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Kapag nag encrypt ng file, Inilalakip ng Babuk ang isa sa mga sumusunod na mga ekstensyon ng pangalan ng file:
.babuk
.babyk
doydo

Sa bawat polder na may file na hindi bababa sa isa, Matatagpuan ang file na Tulong para I-restore ang Files.txt ninyo kasama ang sumusunod na nilalaman:

Hindi binabago ng BadBlock ang pangalan ng mga file mo.

Pagkatapos i-encryp ang mga file mo, ipapakita ng BadBlock ang isa sa mga mensaheng ito (mula sa isang file na pinangalanang Help Decrypt.html):

Ang Bart ay nagdadagdag ng .bart.zip sa hulihan ng mga pangalan ng file. (hal., Thesis.doc = Thesis.docx.bart.zip) Ang mga ito ay ini-encrypt na mga archive ng ZIP na naglalaman ng mga orihinal na file.

Pagkatapos i-encrypt ang mga file mo, pinapalitan ng Bart ang wallpaper ng desktop ng isang imaheng tulad ng nasa ibaba. Magagamit din ang teksto ng mensaheng ito para makatulong tukuyin ang Bart, at itinatago sa desktop sa mga file na pinangalanang recover.bmp at recover.txt.

Idinaragdag ng ransomware ang sumusunod na extension: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Gumagawa ang ransomware ng text file na pinangalanang "Read Me.txt" sa bawat folder. Ang nilalaman ng file ay nasa ibaba.

Ang mga pangalan ng na-encrypt na file ay magkakaroon ng sumusunod na format:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Karagdagan pa, ang isa sa mga sumusunod na file ay makikita sa PC
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf o !#_DECRYPT_#!.inf sa bawat folder na may kahit man lang isang na-encrypt na file.

Pagkatapos ma-encrypt ang iyong mga file, mababago ang wallpaper ng desktop sa sumusunod:

Puwede ka ring makakita ng isa sa mga sumusunod na tala ng ransom:

Nagdaragdag ang Crypt888 ng Lock. sa simula ng mga filename. (hal, Thesis.doc = Lock.Thesis.doc)

Pagkatapos i-encrypt ang mga file mo, pinapalitan ng Crypt888 ang wallpaper ng desktop mo ng isa sa mga sumusunod:

Ang mga in-encrypt na file ay magkakaroon ng isa sa mga sumusunod na extension: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl o .MOLE.

Ang mga sumusunod na file ay maaaring matagpuan sa PC pagkatapos mag-encrypt ng mga file:

Ang mga ini-encrypt na file ay maraming iba’t ibang extension, kabilang ang:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Pagkatapos i-encrypt ang mga file mo, lalabas ang isa sa mga sumusunod na mensahe (tingnan sa ibaba). Makikita ang mensahe sa "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" o "HOW TO DECRYPT YOUR DATA.txt" sa desktop ng user. Nabago rin ang background ng desktop sa isa sa mga larawan sa ibaba.

Idinaragdag ng ransomware ang salitang "encrypTile" sa pangalan ng file:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Gumagawa rin ang ransomware ng apat na bagong file sa desktop ng user. Naisalin ang mga pangalan ng mga file na ito, heto ang mga English na bersyon ng mga iyon:

Habang gumagana, aktibong pinipigilan ng ransomware ang user sa pagpapatakbo sa anumang tool na posibleng makapag-alis nito. Sumangguni sa post sa blog para sa mas detalyadong mga tagubilin sa kung paano patakbuhin ang decryptor kung gumagana man ang ransomware sa iyong PC.

Magkakaroon ng extension na .crypt ang mga na-encrypt na file.

Pagkatapos ma-encrypt ang iyong mga file, ginagawa ang ilang file sa desktop ng user, na may mga variant ng pangalan na: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Pare-pareho ang laht ng ito, na naglalaman sa sumusunod na mensahe sa text:

Espesyal: Dahil ang mga decryptor ng AVAST ay mga application sa Windows, mahalagang mag-install ng emulation layer sa Mac (WINE, CrossOver). Para sa higit pang impormasyon, pakibasa ang aming post sa blog.

Magkakaroon ang mga na-encrypt na file ng isa sa mga extension na ito:
.FONIX,
.XINOF

Pagkatapos mag-encrypt ng mga file sa machine ng biktima, ipinapakita ng ransomware ang sumusunod na screen:

Nagdaragdag ang ransomware ng maraming posibleng extension:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (ang mga titik ay random)

Gumagawa rin ang ransomware ng text file na pinangalanang "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" o "%RandomLetters%-MANUAL.txt" sa bawat folder. Ang nilalaman ng file ay nasa ibaba.

Puwede ring itakda ng mga mas bagong bersyon ransomware ang sumusunod na larawan sa desktop ng user:

Idinadagdag ng Globe ang isa sa mga sumusunod na extension sa pangalan ng file: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", o ".hnyear". Bukod sa roon, ini-encrypt din ng ilan sa mga bersiyon nito pati ang pangalan ng file.

Pagkatapos i-encrypt ang mga file mo, lalabas ang isang katulad na mensahe (matatagpuan iyon sa file na "How to restore files.hta" o "Read Me Please.hta"):

Ang mga naka-encrypt na file ay maaaring makilala ng .[vote2024forjb@protonmail.com].encryptedJB extension ng file. Gayundin, ang isang file na pinangalanang read_me.html ay ibinaba sa desktop ng user (tingnan ang larawan sa ibaba).

Ang mga na-encrypt na file ay magkakaroon ng isa sa mga sumusunod na extension (nguni’t hindi limitado sa): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Pagkatapos i-encrypt ang mga file, isang file ng teksto (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) ang lumalabas sa desktop ng user. Maaari ding magpakita ng mensahe ng ranson ang iba’t ibang anyo:

Ang mga in-encrypt na file ay magkakaroon ng isa sa mga sumusunod na extension: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, o .gefickt.

Pagkatapos ma-encrypt ang mga file mo, lalabas ang isa sa mga iskrin sa ibaba:

Idinaragdag ng ransomware ang extension na ".MyChemicalRomance4EVER" pagkatapos ng pangalan ng file:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Gumagawa rin ang ransomware ng text file na pinangalanang "UNLOCK_guiDE.txt" desktop ng user. Ang nilalaman ng file ay nasa ibaba.

Nagdaragdag ang legion ng variant ng ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion o .$centurion_legion@aol.com$.cbf sa dulo ng mga filename. (hal., Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Pagkatapos i-encrypt ang mga file mo, binabago ng Legion ang wallpaper ng desktop mo at nagpapakita ng isang popup, tulad nito:

Hindi binabago ng NoobCrypt ang pangalan ng file. Ang mga file na ini-encrypt ay hindi nabubuksan gamit ang kanilang kaugnay na aplikasyon, gayunman.

Pagkatapos i-encrypt ang mga file mo, isang katulad na mensahe ang lumalabas (matatagpuan iyon sa file na "ransomed.html" sa desktop ng user):

Ang mga naka-encrypt na file ay maaaring makilala ng isa sa mga extensyon ng file na ito:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

At saka, ang ranson note file ay inilalagay sa may-ari ng desktop na isa sa mga pangalang ito:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Ang mga naka-encrypt na file ay maaaring makilala ng isa sa mga extensyon na ito:
.mallox
.exploit
.architek
.brg
.carone

Sa bawat folder na may kahit isang naka-encrypt na file, mayroon ding ransom note file, na pinangalanang RECOVERY INFORMATION.txt (tingnan ang larawan sa ibaba).

Ang Stampado ay nagdadagdag ng extension na .locked sa mga na-encrypt na file. May mga anyong ini-encrypt din ang mismong pangalan ng file, kung kaya ang pangalan ng na-encrypt na file ay maaaring magmukhang document.docx.locked o 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Pagkatapos makumpleto ang pag-encrypt, lalabas ang sumusunod na iskrin:

Ang SZFLocker ay nagdadagdag ng .szf sa hulihan ng mga pangalan ng file. (hal., Thesis.doc = Thesis.doc.szf)

Kapag sinusubukan mong buksan ang isang ini-encrypt na file, ipinapakita ng SZFLocker ang sumusunod na mensahe (sa Polish):

Hindi pinapalitan ng pangalan ng pinakabagong bersiyon ng TeslaCrypt ang mga file mo.

Pagkatapos i-encrypt ang mga file mo, nagpapakita ang TeslaCrypt ng ibang anyo ng sumusunod na mensahe:

Magkakaroon ang mga na-encrypt na file ng isa sa mga extension na ito:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Pagkatapos i-encrypt ang iyong mga file, may ilang file na magagawa sa desktop ng user, kung saan magiging README10.tx ang pangalang README1.txt. Nasa magkakaibang wika ang mga ito na naglalaman ng ganitong text:

Magbabago rin ang background ng desktop ng user at magiging tulad ng larawan sa ibaba:

Idinaragdag ng ransomware ang extension na ".~xdata~" sa mga na-encrypt na file.

Sa bawat folder na may kahit man lang isang na-encrypt na file, makikita ang. Karagdagan pa, gumagawa ang ransomware ng key file na may pangalang katulad ng:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ sa mga sumusunod na folder:

• C:\

• C:\ProgramData

• Desktop

Ang file na "HOW_CAN_I_DECRYPT_MY_FILES.txt" ay naglalaman ng sumusunod na tala ng ransom: