При заражении компьютера в системный реестр Windows записывается зашифрованная динамическая библиотека .dll, а в запущенный процесс explorer.exe встраивается специальный код, считывающий файл из реестра в память, расшифровывающий его и передающий ему управление. Список зашифрованных файлов троянское приложение также хранит в реестре операционной системы, для каждого файла используется уникальный ключ, состоящий из заглавных латинских букв. Отмечается, что шифрование файлов происходит с использованием алгоритма Blowfish-ECB, а шифрование сессионного ключа осуществляется с использованием RSA при помощи интерфейса CryptoAPI. Каждый файл, который был зашифрован, имеет расширение .vault.   

Если вы стали жертвой вредоносной программы Trojan.Encoder.2843, рекомендуется не переустанавливать операционную систему и не удалять никакие файлы на компьютере. В первую очередь необходимо написать в службу технической поддержки «Доктор Веб», приложив к письму любой зашифрованный файл, и дождаться ответа. Данная услуга бесплатна для всех пользователей коммерческих лицензий антивирусных решений Dr. Web. Также рекомендуется написать заявление в полицию, пример заявления можно скачать на сайте «Доктор Веб».