Нові версії троянів-енкодерів з'являються щомісяця. Trojan.Encoder.6491 цікавий тим, що він написаний на розробленій компанією Google мові програмування Go: до цього вірусним аналітикам не зустрічалися шифрувальники, створені з використанням цієї технології. При запуску Trojan.Encoder.6491 встановлює себе в систему під ім'ям Windows_Security.exe. Потім троян починає шифрувати файли, що зберігаються на дисках, за допомогою алгоритму AES. У процесі роботи шкідлива програма пропускає файли, в імені яких містяться наступні рядки: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, Recycle.Bin, System Volume Information, Boot, Windows , .enc, Instructions, Windows_Security.exe.

Троян шифрує файли 140 різних типів, визначаючи їх за розширенням. Trojan.Encoder.6491 кодує оригінальні імена файлів методом Base64, а потім надає зашифрованим файлам розширення .enc. У результаті, наприклад, файл з ім'ям Test_file.avi отримає ім'я VGVzdF9maWxlLmF2aQ==.enc. Потім шифрувальник відкриває у вікні браузера файл Instructions.html з  вимогою викупу в криптовалюті Bitcoin.

Примітно, що Trojan.Encoder.6491 з певним інтервалом перевіряє баланс Bitcoin-гаманця, на який жертва повинна переказати кошти. Зафіксувавши грошовий переказ, енкодер автоматично розшифровує всі зашифровані раніше файли з використанням вбудованої функції.

Фахівці компанії розробили спеціальну методику, яка дозволяє розшифровувати файли, що постраждали від цього трояна.

Користувачі, які стали жертвою шкідливої ​​програми Trojan.Encoder.6491, можуть скористатися такими рекомендаціями: звернутися з відповідною заявою до поліції; ні в якому разі не намагатися перевстановити операційну систему, «оптимізувати» або «очистити» її з використанням будь-яких утиліт; не видаляти жодні файли на вашому комп'ютері; не намагатися відновити зашифровані файли самостійно; звернутися до служби технічної підтримки компанії «Доктор Веб» (ця послуга безкоштовна для користувачів комерційних ліцензій Dr.Web); до тикету необхідно додати будь-який зашифрований трояном файл; дочекатися відповіді спеціаліста служби технічної підтримки. У зв'язку з великою кількістю запитів це може зайняти деякий час.

Послуги з розшифрування файлів надаються лише власникам комерційних ліцензій на антивірусні продукти Dr.Web. «Доктор Веб» не надає повної гарантії розшифровки всіх постраждалих від дії енкодера файлів.