Tin tốt đó là mã độc này có thể giải mã được thông qua một quá trình phức tạp nên những người dùng thông thường phải cần sự trợ giúp từ phía những chuyên gia .

Tin tốt thứ hai đó là Lawrence Abrams của Bleeping Computer tham gia vào sự trợ giúp để giải mã miễn phí cho nạn nhân . Theo phân tích kỹ thuật của Bleeping Computer và Check Point, CTB-Faker hiện nay đang phát tán qua những trang web khiêu dâm . Khi người dùng được khuyến khích tải một file ZIP có chứa file thực thi . Chạy file thực thi này bắt đầu khởi động quá trình mã hóa của CTB-Faker , chuyển từ tư những file tới file “C:Users.zip” được bảo vệ bằng mật khẩu .

Để chuyển những file này sau đó bảo vệ bằng mật khẩu , CTB-Faker dùng ứng dụng WinRAR . Ngay sau khi nó tạo ra file này , nó bắt máy tính khởi động lại và sau đó thông báo đòi tiền chuộc sau khi người dùng đăng nhập .

Theo Abrams phát hiện ra một địa chỉ Bitcoin dùng cho thông báo đòi tiền chuộc của CTB-Faker đã nhận được 577 Bitcoin ( gần 381.000$ ) tiền chuộc . CTB-Faker đòi 0.08 Bitcoin ( gần 50$ ) trên những PC bị nhiễm độc . Như vậy mã độc này đã lây nhiễm tới hơn 7.200 nạn nhân .

CTB-Faker dọa dùng kết hợp SHA-512 và RSA-4096 để khóa file nhưng thực chất mã hóa AES-256 , là chuẩn mã hóa dùng khóa file trong WinRAR .

Nạn nhân có thể liên hệ với Abrams để nhận được sự trợ giúp .

Trước kia đã có hai họ mã độc đòi tiền chuộc khóa file bên trong file nén được bảo vệ bằng mật khẩu đó là Bart và CryptoHost (Manamecrypt) , cả hai đều có thể giải mã được .