Έχοντας αναλύσει τον υψηλού επιπέδου κώδικα της ρουτίνας κρυπτογράφησης, η εταιρεία έχει καταλάβει πως μετά από την κρυπτογράφηση δίσκου, ο φορέας απειλής δεν μπορούσε να αποκρυπτογραφήσει τους δίσκους των θυμάτων. 

Για να αποκρυπτογραφήσουν το δίσκο ενός θύματος, οι φορείς απειλής χρειάζονται το αναγνωριστικό εγκατάστασης.  Σε προηγούμενες εκδόσεις από παρόμοια ransomware όπως το Petya/Mischa/GoldenEye αυτό το αναγνωριστικό εγκατάστασης περιέχει πληροφορίες απαραίτητες για την επαναφορά.

Το ExPetr δεν το έχει αυτό, το οποίο σημαίνει πως ο φορέας απειλής δεν μπορούσε να εξάγει τις απαραίτητές πληροφορίες για την αποκρυπτογράφηση.  Με λίγα λόγια, τα θύματα δεν μπορούσαν να επαναφέρουν τα δεδομένα τους.