Linux.Encoder.1 nutzt einen symmetrischen Algorithmus nach dem Advanced Encryption Standard (AES), der minimale Ressourcen verbraucht. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus (RSA) kodiert und am Anfang der Datei zusammen mit dem AES-Initialisierungsvektor hinzugefügt.
Durch einen Codierungsfehler war es den Malware-Experten bei Bitdefender möglich, den AES- Schlüssel auszulesen, ohne im Besitz des RSA-Schlüssels zu sein. Nichtsdestotrotz sollte die Verfügbarkeit der Ransomware die Alarmglocken bei Linux-Nutzern schrillen lassen.
Das von Bitdefender erstellte Toolkit identifiziert den Verschlüsselungscode durch die Analyse der Datei und startet den Dekodierungsvorgang, gefolgt von der Reparatur der Datei. Wenn das kompromittierte Betriebssystem mit dem Hochfahren beginnt, lädt der Nutzer das bei Bitdefender hinterlegte Linux-Skript (http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/)herunter und führt es aus.