Автор трояна составил устрашающее обращение, из которого следовало, что помочь жертвам никто кроме мошенника не может. Однако громкие слова оказались не более чем блефом – при шифровании используется открытый ключ, т.е. все данные по дешифровке содержатся в теле трояна.
На самом деле был применен алгоритм 3DES, а программный код процедуры шифрования позаимствован у готового компонента среды разработки Delphi. Стиль программирования указал на невысокий уровень знаний разработчика.
Начиная с 11 августа троян определяется Лабораторией Касперского как Trojan-Ransom.Win32.Gpcode.am, а для восстановления данных вообще не нужно скачивать какие-либо утилиты – алгоритм дешифровки включен в антивирусные базы Лаборатории Касперского.