Fidye yazılımı, şifrelenmiş dosyalara aşağıdaki uzantılardan birini ekler:
.aes_ni
.aes256
.aes_ni_0day

Her klasörde en az bir şifrelenmiş dosyayla birlikte "!!! READ THIS - IMPORTANT !!!.txt" dosyası bulunur. Fidye yazılımı ayrıca C:\ProgramData klasöründe adı şuna benzeyen bir anahtar dosyası oluşturur: [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

"!!! READ THIS - IMPORTANT !!!.txt" dosyası aşağıdaki fidye notlarını içerir:

Şifrelenmiş dosyalar ".Alcatraz" uzantısına sahiptir.

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj kullanıcının masaüstünde "ransomed.html" adlı bir dosyada bulunur):

Apocalypse, dosya adlarının sonuna .encrypted, .FuckYourData, .locked, .Encryptedfile veya .SecureCrypted uzantılarını ekler. (örneğin, Tez.doc = Tez.doc.locked)

.How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt veya .Where_my_files.txt (örneğin Tez.doc.How_To_Decrypt.txt) gibi bir uzantıya sahip bir dosyayı açtığınızda aşağıdakine benzer bir mesajı görüntülenir:

Şifrelenmiş dosyaları tespit etmek için şu uzantılardan birine sahip olup olmadıklarını kontrol edebilirsiniz:
.ATOMSILO
.lockfile

Her klasörde en az bir şifrelenmiş dosyayla birlikte README-FILE-%ComputerName%-%Number%.hta veya LOCKFILE-README-%ComputerName%-%Number%.hta adlı bir fidye notu bulunur, ör.:

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

Babuk, dosyaları şifrelerken dosya adına şu uzantılardan birini ekler:
.babuk
.babyk
.doydo

En az bir şifrelenmiş dosya bulunan her klasörde Help Restore Your Files.txt belgesi bulunur ve içeriğinde şunlar yer alır:

BadBlock dosyalarınızı yeniden adlandırmaz.

BadBlock dosyalarınızı şifreledikten sonra aşağıdaki mesajlardan birini görüntüler (Help Decrypt.html adlı bir dosyadan):

Bart, dosya adlarının sonuna .bart.zip uzantısını ekler. (örneğin, Tez.doc = Tez.docx.bart.zip) Bunlar, orijinal dosyaları içeren şifreli ZIP arşivleridir.

Bart, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdını aşağıdakine benzer bir görüntüyle değiştirir. Bu görüntüdeki metin de Bart'ı tespit etmenize yardımcı olabilir ve masaüstünde recover.bmp ve recover.txt adlı dosyalarda saklanır.

Fidye yazılımı, aşağıdaki uzantıları ekler: .obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

Fidye yazılımı ayrıca her klasörde "Read Me.text" adlı bir metin dosyası oluşturur. Dosya içeriği aşağıda verilmiştir.

Şifrelenmiş dosya adları aşağıdaki gibidir:
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

Buna ek olarak aşağıdaki dosyalardan biri bilgisayarda bulunabilir:
%USERPROFILE%\Desktop konumunda Key.dat
%USERPROFILE%\AppData\Roaming konumunda 1.bmp
Her klasörde en az bir şifrelenmiş dosyayla birlikte #_README_#.inf veya !#_DECRYPT_#!.inf.

Dosyalarınız şifrelendikten sonra masaüstü duvar kâğıdı aşağıdakiyle değiştirilir:

Aşağıdaki fidye notlarından birini de görebilirsiniz:

Crypt888, dosya adlarının başına Lock. ibaresini ekler. (örneğin Tez.doc = Lock.Tez.doc)

Crypt888, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdınızı aşağıdakilerden biriyle değiştirir:

Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl veya .MOLE.

Şifreleme işleminden sonra bilgisayarınızda şu dosyalar bulunabilir:

Şifrelenen dosyalar çeşitli uzantılara sahiptir. Örneğin:
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

Dosyalarınız şifrelendikten sonra aşağıdaki mesajlardan biri görüntülenir (aşağıya bakın). Mesaj, kullanıcının masaüstündeki "Decryption instructions.txt", "Decryptions instructions.txt", "README.txt", "Readme to restore your files.txt" veya "HOW TO DECRYPT YOUR DATA.txt" dosyalarında bulunur. Ayrıca, masaüstü arka planı aşağıdaki resimlerden biriyle değiştirilir.

Fidye yazılımı, dosya adına "encrypTile" kelimesini ekler:

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

Ayrıca, fidye yazılımı kullanıcının masaüstünde dört yeni dosya oluşturur. Bu dosyaların adları yerelleştirilir, İngilizce sürümleri şu şekildedir:

Çalıştığı sırada fidye yazılımı, kullanıcının kendisini kaldırmak için kullanabileceği araçları çalıştırmasını etkin bir şekilde engeller. Bilgisayarınızda fidye yazılımının çalışması durumunda şifre çözücüyü çalıştırmayla ilgili daha ayrıntılı talimatlar için blog gönderisine bakın.

Şifrelenmiş dosyalar ".crypt" uzantısına sahiptir.

Dosyalarınız şifrelendikten sonra kullanıcının masaüstünde aşağıdaki ad türevlerine sahip birkaç dosya oluşturulur: DECRYPT.txt, HOW_TO_DECRYPT.txt, README.txt. Tüm dosyalar aynıdır ve aşağıdaki metin mesajını içerir:

Özel: AVAST şifre çözücüler Windows uygulamaları olduğu için Mac cihazlara bir öykünme katmanı (WINE, CrossOver) yüklenmesi gerekir. Daha fazla bilgi için lütfen blog gönderimizi okuyun.

Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
.FONIX,
.XINOF

Fidye yazılımı, kurbanın bilgisayarındaki dosyaları şifreledikten sonra şu ekranı görüntüler:

Fidye yazılımı olası birden fazla uzantı ekler:
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo (harfler rastgele seçilmiştir)

Fidye yazılımı ayrıca her klasörde "GDCB-DECRYPT.txt", "CRAB-DECRYPT.txt", "KRAB_DECRYPT.txt", "%RandomLetters%-DECRYPT.txt" veya "%RandomLetters%-MANUAL.txt" adlı bir metin dosyası oluşturur. Dosya içeriği aşağıda verilmiştir.

Fidye yazılımının sonraki sürümleri kullanıcının masaüstüne aşağıdaki resimleri de atayabilir:

Globe, dosya adına şu uzantılardan birini ekler: ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]" veya ".hnyear". Ayrıca bazı sürümleri dosya adını da şifreler.

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj "How to restore files.hta" veya "Read Me Please.hta" adlı bir dosyada bulunur):

Şifrelenmiş dosyaları tespit etmek için .[vote2024forjb@protonmail.com].encryptedJB uzantısına sahip olup olmadıklarını kontrol edebilirsiniz. Ayrıca kullanıcının masaüstüne read_me.html adlı bir dosya bırakılır (bkz. aşağıdaki görsel).

Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir (ancak uzantılar bunlarla sınırlı değildir): .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Dosyaları şifreledikten sonra kullanıcının masaüstünde bir metin dosyası (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) görüntülenir. Ayrıca çeşitli türevleri fidye mesajı da gösterebilir:

Şifrelenen dosyalar aşağıdaki uzantılardan birine sahiptir: .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org veya .gefickt.

Dosyalarınız şifrelendikten sonra aşağıdaki ekranlardan biri görüntülenir:

Fidye yazılımı, dosya adına ".MyChemicalRomance4EVER" kelimesini ekler:
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

Fidye yazılımı ayrıca kullanıcının masaüstünde "UNLOCK_guiDE.txt" adlı bir metin dosyası oluşturur. Dosya içeriği aşağıda verilmiştir.

Legion, dosya adlarının sonuna ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion veya .$centurion_legion@aol.com$.cbf uzantısı ekler. (örneğin Tez.doc = Tez.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Legion, dosyalarınızı şifreledikten sonra masaüstü duvar kâğıdınızı değiştirir ve aşağıdakine benzer bir açılır mesaj kutusu gösterir:

NoobCrypt dosya adını değiştirmez. Ancak şifrelenen dosyalar ilgili uygulamalarıyla da açılamaz.

Dosyalarınız şifrelendikten sonra benzer bir mesaj görüntülenir (bu mesaj kullanıcının masaüstünde "ransomed.html" adlı bir dosyada bulunur):

Şifrelenmiş dosyaları tespit etmek için şu uzantılardan birine sahip olup olmadıklarını kontrol edebilirsiniz:

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

Ayrıca, kullanıcının masaüstüne şu adlardan birine sahip bir fidye notu bırakılır:

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

Şifrelenmiş dosyaları tespit etmek için şu uzantılardan birine sahip olup olmadıklarını kontrol edebilirsiniz:
.mallox
.exploit
.architek
.brg
.carone

Her klasörde en az bir şifrelenmiş dosyayla birlikte RECOVERY INFORMATION.txt adında fidye notu dosyası bulunur (bkz. aşağıdaki görsel).

Stampado şifrelenmiş dosyalara .locked uzantısını ekler. Ayrıca bazı türevleri dosya adını şifrelemektedir, bu nedenle şifreli dosya adı document.docx.locked veya 85451F3CCCE348256B549378804965CD8564065FC3F8.locked olarak görünebilir.

Şifreleme işlemi tamamlandıktan sonra aşağıdaki ekran görüntülenir:

SZFLocker, dosya adlarının sonuna .szf uzantısını ekler. (örneğin, Tez.doc = Tez.doc.szf)

SZFLocker, şifrelenmiş dosyayı açmaya çalıştığınızda aşağıdaki mesajı görüntüler (Lehçe dilinde):

TeslaCrypt yazılımının en son sürümü dosyalarınızı yeniden adlandırmaz.

TeslaCrypt, dosyalarınızı şifreledikten sonra aşağıdaki mesajı veya bir benzerini görüntüler:

Şifrelenmiş dosyalar şu uzantılardan birine sahiptir:
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

Dosyalarınız şifrelendikten sonra kullanıcının masaüstünde README1.txt - README10.txt adlarından birine sahip birkaç dosya oluşturur. Bu dosyalar farklı dillerde yazılmıştır ve şu metni içerir:

Ayrıca, kullanıcının arka planı değiştirilerek aşağıdaki resme benzer şekilde görünür:

Fidye yazılımı, şifrelenmiş dosyalara ".~xdata~" uzantısını ekler.

Her klasörde en az bir şifrelenmiş dosyayla birlikte "HOW_CAN_I_DECRYPT_MY_FILES.txt" dosyası bulunabilir. Fidye yazılımı ayrıca C:\ProgramData klasöründe adı şuna benzeyen bir anahtar dosyası oluşturur:

Aşağıdaki klasörlerde [PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ dosyası bulunur:

• C:\

• C:\ProgramData

• Masaüstü

"HOW_CAN_I_DECRYPT_MY_FILES.txt" dosyası aşağıdaki fidye yazılımı notlarını içerir: