Wenn das System mit einem schädlichen Programm der Gattung Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom.Win32.CryptXXX infiziert ist, dann werden alle Dateien auf dem Computer auf folgende Weise verschlüsselt:
- Bei der Infektion mit Trojan-Ransom.Win32.Rannoh werden Namen und Erweiterungen nach der folgenden Vorlage geändert: locked-<ursprünglicher_Name>.<4 zufällige Buchstabe>.
- Bei der Infektion mit Trojan-Ransom.Win32.Cryakl wird das Tag {CRYPTENDBLACKDC} am Ende des Inhalts der Dateien stehen.
- Bei der Infektion mit Trojan-Ransom.Win32.AutoIt wird die Erweiterung nach der folgenden Vorlage geändert: <ursprünglicher_Name>@<Mail-Domäne>_.<zufälllige_Zeichen>. z. B. ioblomov@india.com_.RZWDTDIC.
- Bei der Infektion mit Trojan-Ransom.Win32.CryptXXX wird die Erweiterung auf folgende Weise geändert: <ursprünglicher_Name>.crypt, <ursprünglicher_Name>.crypz und <ursprünglicher_Name>.cryp1.
Das Tool RannohDecryptor entschlüsselt Dateien, durch folgende Ransomware verschlüsselt wurden: Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom.Win32.CryptXXX (Versionen 1,2 und 3).