In den jeweiligen Verzeichnissen werden dann Mitteilungen hinterlassen, die darüber informieren, wie man seine Daten wiederbekommen kann. Die Erpresser verlangen hier die Überweisung von einem Bitcoin im Wert von rund 420 Dollar. Im Gegenzug soll man dann einen Key erhalten, der eine Entschlüsselung der Dateien erlaubt.
Gut beraten ist man dann, wenn ein Backup existiert, an das die Täter nicht herankamen. Ein solches sollte also möglichst regelmäßig erstellt und entweder auf einem Offline-Medium oder zumindest einem anderen Server hinterlegt werden. Denn es ist kaum möglich, die Verschlüsselung ohne den passenden Key einfach zu brechen. Linux.Encoder.1 setzt immerhin auf ein Public-Key-Verfahren mit einem 2.048-Bit-Schlüssel. Auf welchem Weg die eigentliche Infektion erfolgt, ist noch nicht endgültig geklärt - man vermutet, dass die Angreifer sich über einen Brute-Force-Angriff auf SSH Zugang zu dem Server verschaffen.