このランサムウェアは、暗号化されたファイルに以下の拡張子のいずれかを追加します。
.aes_ni
.aes256
.aes_ni_0day

各フォルダに、少なくとも 1 件の暗号化ファイル（「!!! READ THIS - IMPORTANT !!!.txt」）を含めます。さらに、ランサムウェアは以下のようなファイル名のキー ファイルを 1 件作成します。[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.aes_ni_0day in C:\ProgramData folder.

ファイル「!!! READ THIS - IMPORTANT !!!.txt」には、次の身代金要求メモが含まれています。

暗号化されたファイルには「.Alcatraz」という拡張子が付けられます。

ファイルが暗号化されると、次のようなメッセージが現れます（このメッセージはユーザーのデスクトップにある「ransomed.html」のファイルに納められています）：

Apocalypse は、.encrypted、.FuckYourData、.locked、.Encryptedfile、または .SecureCrypted をファイル名の末尾に追加します（たとえば、Thesis.doc は Thesis.doc.locked になります）。

.How_To_Decrypt.txt、.README.Txt、.Contact_Here_To_Recover_Your_Files.txt、.How_to_Recover_Data.txt、または .Where_my_files.txt という拡張子の付いたファイル（たとえば、Thesis.doc.How_To_Decrypt.txt）を開くと、次のようなメッセージが表示されます。

暗号化されたファイルは以下のいずれかの拡張子で認識することができます。
.ATOMSILO
.lockfile

少なくとも 1 つの暗号化されたファイルがある各フォルダには、README-FILE-%ComputerName%-%Number%.hta または LOCKFILE-README-%ComputerName%-%Number%.hta という名前のランサム メモ ファイルがあります。例：

• README-FILE-JOHN_PC-1634717562.hta
• LOCKFILE-README-JOHN_PC-1635095048.hta

ファイルを暗号化するとき、Babuk は次のいずれかの拡張子をファイル名に追加します。
.babuk
.babyk
.doydo

1 つ以上の暗号化されたファイルを含む各フォルダ内で、Help Restore Your Files.txt を次のコンテンツで見つけることができます。

BadBlock はファイル名を変更しません。

ファイルを暗号化すると、BadBlock は（Help Decrypt.html というファイルから）以下のいずれかのメッセージを表示します：

Bart はファイル名の末尾に .bart.zip という拡張子を付けます（たとえば、Thesis.doc は Thesis.docx.bart.zip になります）。こうしたファイルは、元のファイルを含んだ暗号化済みの ZIP アーカイブです。

ファイルを暗号化すると、Bart はデスクトップの壁紙を以下のような画像に変更します。この画像に表示されるテキストは、Bart を識別する際にも役立ち、デスクトップにある recover.bmp や recover.txt という名前のファイルに保管されています。

ランサムウェアは以下の拡張子を追加します。.obfuscated

foobar.doc -> foobar.doc.obfuscated
document.dat -> document.dat.obfuscated
document.xls -> document.xls.obfuscated
foobar.bmp -> foobar.bmp.obfuscated

このランサムウェアは、各フォルダに「Read Me.txt」という名前のテキスト ファイルを 1 件作成します。ファイルの内容は以下のとおりです。

暗号化されたファイル名の形式には以下があります。
foobar.docx.[sql772@aol.com].theva
foobar.docx.[no.xop@protonmail.ch].cryptobyte
foobar.bmp.[no.btc@protonmail.ch].cryptowin
foobar.bmp.[no.btcw@protonmail.ch].btcware
foobar.docx.onyon

さらに、PC に以下のファイルのうち、いずれか 1 件が含まれることがあります。
Key.dat on %USERPROFILE%\Desktop
1.bmp in %USERPROFILE%\AppData\Roaming
#_README_#.inf or !#_DECRYPT_#!.inf（各フォルダに少なくとも 1 件のファイルが含まれます）。

ユーザーのファイルが暗号化された後、デスクトップの壁紙は以下のように変更されます。

次の身代金要求メモのいずれかが表示されることもあります。

Crypt888 はファイル名の先頭に Lock. を付けます（たとえば、Thesis.doc は Lock.Thesis.doc になります）。

ファイルを暗号化すると、Crypt888 はデスクトップの壁紙を以下のような画像に変更します。

暗号化されたファイルには、次のうちのいずれかの拡張子が付けられます：.CRYPTOSHIELD、.rdmk、.lesli、.scl、.code、.rmd、.rscl、または .MOLE。

ファイルが暗号化されると、PC で次のファイルが見つかる場合があります：

暗号化されたファイルに付けられる拡張子には、以下のようなさまざまなものがあります。
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl,
.{3angle@india.com}.dharma,
.{tombit@india.com}.dharma,
.wallet

ファイルが暗号化されると、以下のいずれかのメッセージが表示されます（下記を参照のこと）。このメッセージは、ユーザーのデスクトップの「Decryption instructions.txt」、「Decryptions instructions.txt」、「*README.txt」、「Readme to restore your files.txt」、または「HOW TO DECRYPT YOUR DATA.txt」に格納されています。また、デスクトップの壁紙が以下の画像のいずれかに変更されます。

このランサムウェアは、下記のようにファイル名に「encrypTile」という言葉を追加します。

foobar.doc -> foobar.docEncrypTile.doc

foobar3 -> foobar3EncrypTile

さらに、ランサムウェアはユーザーのデスクトップに 4 件の新しいファイルを作成します。これらのファイルの名前はローカライズされています。以下は英語版です。

ランサムウェアは実行中、ユーザーがランサムウェアを削除するためのツールを実行するのを活発に防ごうとします。ランサムウェアがご使用の PC で実行されている場合、復号ツールの実行方法の詳細については、blog の投稿を参照してください。

暗号化されたファイルは、.crypt 拡張子が付けられます。

ユーザーのファイルを暗号化した後、以下の名前変種を含む複数のファイルをユーザーのデスクトップに作成します。DECRYPT.txt、HOW_TO_DECRYPT.txt、README.txt。これらのファイルはすべて同じ内容で、次のテキスト メッセージを含んでいます。

特別：アバスト復号ツールは Windows 用アプリケーションであるため、Mac での使用にはエミュレーション レイヤー（WINE、CrossOver）をインストールする必要があります。詳細については、アバストのブログ投稿をお読みください。

暗号化されたファイルには、以下のいずれかの拡張子が付けられます：
.FONIX,
.XINOF

被害を受けたマシンのファイルが暗号化された後、ランサムウェアによって次の画面が表示されます。

このランサムウェアは次候補のような拡張子を複数追加します。
.GDCB,
.CRAB,
.KRAB,
.%RandomLetters%
foobar.doc -> foobar.doc.GDCB
document.dat -> document.dat.CRAB
document.xls -> document.xls.KRAB
foobar.bmp -> foobar.bmp.gcnbo（文字はランダム）

このランサムウェアは、また、各フォルダに「GDCB-DECRYPT.txt」、「CRAB-DECRYPT.txt」、「KRAB_DECRYPT.txt」、「%RandomLetters%-DECRYPT.txt」、「%RandomLetters%-MANUAL.txt」という名前のテキスト ファイルを作成します。ファイルの内容は以下のとおりです。

このランサムウェアの新しい方のバージョンでは、以下のような画像をユーザーのデスクトップに設定します。

Globe は次のいずれかの拡張子をファイル名に付けます：「.ACRYPT」、「.GSupport[0-9]」、「.blackblock」、「.dll555」、「.duhust」、「.exploit」、「.frozen」、「.globe」、「.gsupport」、「.kyra」、「.purged」、「.raid[0-9]」、「.siri-down@india.com」、「.xtbl」、「.zendrz」、「.zendr[0-9]」、または「.hnyear」。さらに、一部のバージョンの Globe はファイル名も暗号化します。

ファイルが暗号化されると、次のようなメッセージが現れます（このメッセージは「How to restore files.hta」または「Read Me Please.hta」というファイルに納められています）：

暗号化されたファイルは .[vote2024forjb@protonmail.com].encryptedJB というファイル拡張子で認識することができます。また、read_me.html という名前のファイルがユーザーのデスクトップにドロップされます（以下の画像参照）。

暗号化されたファイルには、次の拡張子が付けられます（これらに限らず）：.locked、.34xxx、.bloccato、.BUGSECCCC、.Hollycrypt、.lock、.saeid、.unlockit、.razy、.mecpt、.monstro、.lok、.암호화됨、.8lock8、.fucked、.flyper、.kratos、.krypted、.CAZZO、.doomed。

ファイルが暗号化されると、デスクトップにテキスト ファイル （READ_IT.txt、MSG_FROM_SITULA.txt、DECRYPT_YOUR_FILES.HTML） が出現します。さまざまな変種でも身代金要求メッセージが表示される場合があります：

暗号化されたファイルには、次のうちのいずれかの拡張子が付けられます：.kkk、.btc、.gws、.J、.encrypted、.porno、.payransom、.pornoransom、.epic、.xyz、.versiegelt、.encrypted、.payb、.pays、.payms、.paymds、.paymts、.paymst、.payrms、.payrmts、.paymrts、.paybtcs、.fun、.hush、.uk-dealer@sigaint.org または .gefickt。

ファイルが暗号化されると、以下のいずれか画面が表示されます：

このランサムウェアは「.MyChemicalRomance4EVER」という拡張子をファイル名の末尾に追加します。
foobar.doc -> foobar.doc.MyChemicalRomance4EVER
document.dat -> document.dat.MyChemicalRomance4EVER

このランサムウェアは、ユーザーのデスクトップに「UNLOCK_guiDE.txt」という名前のテキスト ファイルも作成します。ファイルの内容は以下のとおりです。

Legion は、ファイル名の末尾に ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion または .$centurion_legion@aol.com$.cbf の変数を付けます（たとえば、Thesis.doc は Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion になります）。

ファイルを暗号化すると、Legion はデスクトップの壁紙を変更して、以下のようなポップアップを表示します。

NoobCrypt はファイル名を変更しません。ただし、暗号化されるファイルは関連付けられたアプリケーションで開くことはできません。

ファイルが暗号化されると、次のようなメッセージが現れます（このメッセージはユーザーのデスクトップにある「ransomed.html」のファイルに納められています）：

暗号化されたファイルは以下のいずれかのファイル拡張子で認識することができます。

• .[cmd_bad@keemail.me].VIPxxx
• .[cmd_bad@keemail.me].crypt
• .[cmd_bad@keemail.me].CRYSTAL
• .[KingKong2@tuta.io].crypt
• .reofgv
• .y9sx7x
• .[black_privat@tuta.io].CRYSTAL
• .BRINKS_PWNED
• .9ten0p
• .uo8bpy
• .iml
• .locked
• .unlock
• .secure[milleni5000@qq.com]
• .secure
• .61gutq
• .hard

また、以下のいずれかの名前のランサム ノート ファイルがユーザーのデスクトップにドロップされます。

• HOW_TO_DECYPHER_FILES.txt
• UNLOCK_FILES_INFO.txt
• Инструкция.txt

暗号化されたファイルは以下のいずれかの拡張子で認識することができます。
.mallox
.exploit
.architek
.brg
.carone

少なくとも 1 つの暗号化されたファイルがある各フォルダには、RECOVERY INFORMATION.txt という名前のランサム ノート ファイルもあります（以下の画像参照）。

Stampado では、ファイル名に拡張子 .locked が付けられます。ある変種ではファイル名自体が暗号化されるため、ファイル名が document.docx.locked または 85451F3CCCE348256B549378804965CD8564065FC3F8.locked のようになることもあります。

暗号化の完了後、次の画面が表示されます：

SZFLocker はファイル名の末尾に .szf を付けます（たとえば、Thesis.doc は Thesis.doc.szf になります）。

暗号化されたファイルを開こうとすると、SZFLocker は以下のメッセージを表示します（ポーランド語）。

最新版の TeslaCrypt はファイルの名前を変更しません。

ファイルを暗号化すると、TeslaCrypt は以下のようなメッセージを表示します。

暗号化されたファイルには、以下のいずれかの拡張子が付けられます：
• xtbl
• ytbl
• breaking_bad
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• rsa3072
• decrypt_it
• dexter
• miami_california

ユーザーのファイルが暗号化された後、README1.txt から README10.txt という名前の複数のファイルがユーザーのデスクトップに作成されます。これには異なる言語で、このテキストが含まれます。

ユーザーのデスクトップの背景も変更され、次の画像のようになります。

このランサムウェアは「.~xdata~」拡張子を暗号化されたファイルに追加します。

各フォルダに少なくとも 1 件の暗号化されたファイル「HOW_CAN_I_DECRYPT_MY_FILES.txt」が含まれます。さらに、ランサムウェアは以下のようなファイル名のキー ファイルを 1 件作成します。

[PC_NAME]#9C43A95AC27D3A131D3E8A95F2163088-Bravo NEW-20175267812-78.key.~xdata~ が以下のフォルダに含まれます。

• C:\

• C:\ProgramData

•デスクトップ

「HOW_CAN_I_DECRYPT_MY_FILES.txt」ファイルには、以下の身代金要求メモが含まれています。