Троянець Trojan.Encoder.252 шифрує файли тільки в тому випадку, якщо інфікований комп'ютер підключено до Інтернету. При цьому шкідлива програма послідовно обходить дискові накопичувачі від: до N: і отримує список файлів із заданими розширеннями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, . pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), який зберігає текстовий файл. Потім Trojan.Encoder.252 перевіряє доступність своїх серверів, на які згодом надсилається ключ шифрування. Якщо дані сервери недоступні, троянець виводить на екран повідомлення нібито від арбітражного суду із пропозицією перевірити налаштування підключення до Інтернету. У разі успішного завершення шифрування до імен файлів дописується рядок Crypted

Незважаючи на те , що на кількох тематичних ресурсах в Інтернеті повідомлялося про неможливість розшифрування файлів в силу особливостей, що використовуються троянцем Trojan.Encoder.252 алгоритмів шифрування, фахівці компанії «Доктор Веб» розробили спеціальну утиліту, що успішно справляється з цим завданням. Щоправда, для підбору ключів знадобиться комп'ютер із потужною апаратною конфігурацією: на звичайних домашніх ПК цей процес може зайняти близько місяця, проте на сервері, оснащеному 24 процесорними ядрами, було встановлено своєрідний рекорд: ключ вдалося підібрати за 20 годин. Ця утиліта стала своєрідним випробувальним полігоном для безлічі інноваційних ідей, народжених вірусними аналітиками «Доктор Веб» — всі ці ідеї будуть застосовуватися і в майбутньому для розшифровки файлів, що постраждали від дії троянців-енкодерів файлів. Дослідження в галузі розробки нових методів боротьби з шифрувальниками тим часом продовжуються.

Якщо ви стали жертвою шкідливої ​​програми Trojan.Encoder.252, дотримуйтесь простих правил , які допоможуть вам повернути зашифровані файли: