يضيف فيروس الفدية أحد الملحقات التالية إلى الملفات المشفرة:
.aes_ni
.aes256
.aes_ni_0day

في كل مجلد يحتوي على ملف مشفر واحد على الأقل، يمكن العثور على الملف "!!!READ THIS - IMPORTANT !!!.txt". بالإضافة إلى ذلك، يقوم فيروس الفدية بإنشاء ملف المفتاح باسم مشابه لما يلي: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

يحتوي الملف يحتوي "!!!READ THIS - IMPORTANT !!!.txt" على رسالة الفدية التالية:

الملفات المشفرة تحتوي على الإضافة ".Alcatraz".

بعد تشفير ملفاتك، تظهر رسالة مشابهة (موجودة في ملف من نوع "ransomed.html" على سطح مكتب المستخدم):

يقوم Apocalypse بإضافة .encryptedأو .FuckYourDataأو .lockedأو .Encryptedfileأو .SecureCrypted إلى نهايات أسماء الملفات. (على سبيل المثال، Thesis.doc = Thesis.doc.locked)

سيعرض لك فتح ملف ينتهي اسمه بإحدى هذه الإضافات إحدى هذه الرسائل المتنوعة .How_To_Decrypt.txt، أو .README.Txt، أو .Contact_Here_To_Recover_Your_Files.txt، أو .How_to_Recover_Data.txt، أو .Where_my_files.txt (على سبيل المثال، Thesis.doc.How_To_Decrypt.txt):

يُمكن التعرف على الملفات المشفرة من خلال أحد هذه الامتدادات:
.ATOMSILO
.lockfile

في كل مجلد يحتوي على ملف واحد مشفر على الأقل، يتوفر أيضًا ملف ملاحظة الفدية، باسم README-FILE-%ComputerName%-%Number%.hta أو LOCKFILE-README-%ComputerName%-%Number%.hta، على سبيل المثال:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

عند تشفير ملف، يقوم Babuk بإلحاق أحد الامتدادات التالية باسم الملف:
.babuk
.babyk
.doydo

في كل مجلد يحتوي على ملف مشفر واحد على الأقل، يمكن العثور فيه على Help Restore Your Files.txt مع المحتوى التالي:

لا يقوم BadBlock بإعادة تسمية ملفاتك.

بعد تشفير ملفاتك، يُظهر BadBlock إحدى هذه الرسائل (من ملف اسمه Help Decrypt.html):

يقوم Bart بإضافة .bart.zip إلى نهاية أسماء الملفات. (على سبيل المثال، Thesis.doc = Thesis.docx.bart.zip) توجد سجلات مضغوطة مشفرة تحتوي على الملفات الأصلية.

بعد تشفير ملفاتك، يقوم Bart بتغيير ورق حائط سطح المكتب الخاص بك إلى صورة تشبه الموجودة أدناه. يمكن أيضًا استخدام النص الموجود في هذه الصورة للمساعدة في التعرف على Bart، ويتم تخزينه على سطح المكتب في ملفات تسمى recover.bmp وrecover.txt.

يضيف فيروس الفدية الملحق التالي: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

يعمل فيروس الفدية أيضًا على إنشاء ملف نصي باسم "Read Me.txt" في كل مجلد. محتوى الملف أدناه.

ستحتوي أسماء الملفات المشفرة على التنسيق التالي:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

وبالإضافة إلى ذلك، يمكن العثور على أحد الملفات التالية على جهاز الكمبيوتر
Key.dat على %USERPROFILE%\Desktop
1.bmp في %USERPROFILE%\AppData\Roaming
#_README_#.inf أو !#_DECRYPT_#!.inf في كل مجلد مع ملف مشفر واحد على الأقل.

بعد تشفير ملفاتك، يتم تغيير ورق حائط سطح المكتب إلى ما يلي:

قد ترى أيضًا إحدى ملاحظات الفدية التالية:

يقوم Crypt888 بإضافة Lock. إلى بداية أسماء الملفات. (على سبيل المثال، Thesis.doc = Lock.Thesis.doc)

بعد تشفير ملفاتك، يقوم Crypt888 بتغيير ورق حائط سطح المكتب الخاص بك إلى أحد الصور التالية:

سيكون للملفات المشفرة أحد الامتدادات التالية: .CRYPTOSHIELDأو .rdmkأو .lesliأو .sclأو .codeأو .rmdأو .rscl أو .MOLE.

يمكن العثور على الملفات التالية على جهاز الكمبيوتر بعد تشفير الملفات:

الملفات المشفرة تحتوي على العديد من الإضافات المتنوعة، وتشمل:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

بعد تشفير ملفاتك، تظهر إحدى الرسائل التالية (انظر أدناه). توجد الرسالة في "Decryption instructions.txt"، أو "Decryptions instructions.txt"، أو "README.txt"، أو "Readme to restore your files.txt"، أو "HOW TO DECRYPT YOUR DATA.txt" على سطح مكتب المستخدم. يمكن أيضًا أن يتم تغيير خلفية سطح المكتب إلى إحدى الصور أدناه.

يضيف فيروس الفدية الكلمة "encrypTile" في اسم الملف:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

كما يقوم فيروس الفدية أيضًا بإنشاء أربعة ملفات جديدة على سطح مكتب المستخدم. يتم ترجمة أسماء هذه الملفات، وإليك إصداراتها باللغة الإنجليزية:

أثناء التشغيل، يمنع فيروس الفدية بنشاط المستخدم من تشغيل أي أدوات قد تؤدي إلى إزالته. يمكنك الرجوع إلى منشور المدونة للحصول على إرشادات أكثر تفصيلًا حول كيفية تشغيل برنامج فك التشفير في حال تشغيل فيروس الفدية على جهاز الكمبيوتر الشخصي لديك.

ستحتوي الملفات المشفرة على الملحق .crypt.

بعد تشفير ملفاتك، يتم إنشاء العديد من الملفات على سطح مكتب المستخدم، مع وجود متغيرات في الاسم: DECRYPT.txt، HOW_TO_DECRYPT.txt، README.txt. وكلها متطابقة، وتحتوي على الرسالة النصية التالية:

خاص: نظرًا لأن برامج فك تشفير AVAST هي من تطبيقات Windows، فمن الضروري تثبيت طبقة محاكاة على نظام Mac (WINE، CrossOver). للحصول على مزيد من المعلومات، يرجى قراءة منشور المدونةالخاص بنا.

سيكون للملفات المشفرة أحد هذه الامتدادات:
.FONIX،
.XINOF

بعد تشفير الملفات على جهاز الضحية، يُظهر فيروس الفدية الشاشة التالية:

يضيف فيروس الفدية عدة ملحقات محتملة:
.GDCB،
.CRAB،
.KRAB،
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (الحروف عشوائية)

يقوم فيروس الفدية أيضًا بإنشاء ملف نصي باسم "GDCB-DECRYPT.txt"، أو "CRAB-DECRYPT.txt"، أو "KRAB_DECRYPT.txt"، أو "%RandomLetters%-DECRYPT.txt" أو "%RandomLetters%-MANUAL.txt" في كل مجلد. محتوى الملف أدناه.

يمكن أيضًا للإصدارات الأحدث من فيروس الفدية تعيين الصورة التالية في سطح مكتب المستخدم:

يضيف Globe إحدى هذه الإضافات التالية إلى اسم الملف: ".ACRYPT"، أو ".GSupport[0-9]"، أو ".blackblock"، أو ".dll555"، أو ".duhust"، أو ".exploit"، أو ".frozen"، أو ".globe"، أو ".gsupport"، أو ".kyra"، أو ".purged"، أو ".raid[0-9]"، أو ".siri-down@india.com"، أو ".xtbl"، أو ".zendrz"، أو ".zendr[0-9]"، أو ".hnyear". علاوة على ذلك، تقوم بعض إصدارته بتشفير اسم الملف أيضًا.

بعد تشفير ملفاتك، تظهر رسالة مشابهة (موجودة في ملف "How to restore files.hta" أو "Read Me Please.hta"):

سيكون للملفات المشفرة أحد الامتدادات التالية (ولكن لا تقتصر على): .locked، .34xxx، .bloccato، .BUGSECCCC، .Hollycrypt، .lock، .saeid، .unlockit، .razy، .mecpt، .monstro، .lok، .암호화됨، .8lock8، .fucked، .flyper، .kratos، .krypted، .CAZZO، .doomed.

بعد تشفير الملفات، يظهر ملف نصي (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) على سطح مكتب المستخدم. يمكن أن تعرض الأنواع المختلفة رسالة فدية أيضًا:

سيكون للملفات المشفرة أحد الامتدادات التالية: .kkk، أو .btc، أو .gws، أو .J، أو .encrypted, .porno، أو .payransom، أو .pornoransom، أو .epic, .xyz، أو .versiegelt، أو .encrypted، أو .payb، أو .pays، أو .payms، أو .paymds، أو .paymts، أو .paymst، أو .payrms، أو .payrmts، أو .paymrts، أو .paybtcs, .fun، أو .hush، أو .uk-dealer@sigaint.org، أو .gefickt.

بعد تشفير الملفات الخاصة بك، سوف تظهر واحدة من الشاشات أدناه:

يضيف فيروس الفدية ملحق ".MyChemicalRomance4EVER" بعد اسم الملف:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

كما يعمل فيروس الفدية أيضًا على إنشاء ملف نصي باسم "UNLOCK_guiDE.txt" على سطح مكتب المستخدم. محتوى الملف أدناه.

يعمل Legion على إضافة متغير ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion أو .$centurion_legion@aol.com$.cbf إلى نهاية أسماء الملفات. (على سبيل المثال، Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

بعد تشفير ملفاتك، يقوم Legion بتغيير ورق حائط سطح المكتب الخاص بك ويعرض نافذة منبثقة، تشبه هذه:

لا يقوم NoobCrypt بتغيير اسم الملف. مع ذلك لا يمكن فتح الملفات المشفرة مع التطبيقات المرتبطة بها.

بعد تشفير ملفاتك، تظهر رسالة مشابهة (موجودة في ملف من نوع "ransomed.html" على سطح مكتب المستخدم):

ويضيف Stampado امتداد .locked للملفات المشفرة. تقوم بعض الأنواع أيضًا بتشفير اسم الملف نفسه، لذلك قد يبدو اسم الملف المشفر إما document.docx.locked أو 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

بعد الانتهاء من عملية التشفير، سوف تظهر الشاشة التالية:

يقوم SZFLocker بإضافة .szf إلى نهاية أسماء الملفات. (على سبيل المثال، Thesis.doc = Thesis.doc.szf)

عندما تحاول فتح ملف مشفر، يقوم SZFLocker بعرض الرسالة التالية (باللغة البولندية):

الإصدار الأخير من TeslaCrypt لا يعيد تسمية ملفاتك.

بعد تشفير ملفاتك، يعرض TeslaCrypt إحدى الرسائل التالية بشكل متنوع:

سيكون للملفات المشفرة أحد هذه الامتدادات:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

بعد تشفير ملفاتك، يتم إنشاء العديد من الملفات على سطح مكتب المستخدم، مع وجود الأسماء README1.txt إلى README10.txt. وتكون بلغات مختلفة، وتحتوي على هذا النص:

يتم أيضًا تغيير خلفية سطح مكتب المستخدم وتبدو مثل الصورة الموجودة أدناه:

يضيف فيروس الفدية الملحق ". ~ xdata ~" إلى الملفات المشفرة.

وفي كل مجلد يحتوي على ملف مشفر واحد على الأقل، يمكن العثور على الملف "HOW_CAN_I_DECRYPT_MY_FILES.txt". بالإضافة إلى ذلك، يقوم فيروس الفدية بإنشاء ملف المفتاح باسم مشابه لما يلي:

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ في المجلدات التالية:

• C:\

• C:\ProgramData

• سطح المكتب

يحتوي الملف "HOW_CAN_I_DECRYPT_MY_FILES.txt" على ملاحظة الفدية التالية: