Postopek dekodiranja je po navedbah Amisa naslednji:

- Na disku se oblikuje nov imenik in vanj razpakira datoteki TeslaDecoder.zip ter yafu.zip.
- Odpre se TeslaViewer in z "Browse" poišče eno od zakodiranih datotek. Izpišejo se različne vrednosti, ki jih z "Create work.txt" shranimo v datoteko.
- Odpremo datoteko work.txt in poiščemo desetiško vrednost SharedSecret1*PrivateKeyBC v delu dec.
- Vrednost skopiramo na naslov factordb.com in poiščemo nasprotno vrednost.

- Če za vrednost že obstaja ustrezna nasprotna vrednost, se pred rezultatom izpiše status FF.
- Če se izpiše CF, poženemo še tuneX86.bat (32-bitni računalniki) oziroma tuneX64.bat (64-bitni računalniki). Proces traja nekaj minut. Ko program konča z delom, poženemo še factorX86.bat (32-bitni računalniki) oziroma factorX64.bat (64-bitni računalniki), skopiramo desetiško vrednost SharedSecret*PrivateKeyBC in v "Amount of Threads" število jeder našega računalnika zmanjšano za 1 (koliko jih imamo, izvemo, če odpremo "Upravitelj opravil"/"Task manager", "Učinkovitost delovanja" in spodaj pogledamo vrednost "Jedra"). Program bo pričel izračunavati vrednosti, postopek lahko traja od nekaj sekund do nekaj dni.
vrednosti iz naslova factordb.com (če je vrednost skrajšana - ima podpisano dolžino, npr <43>, kliknemo nanjo da dobimo celotno) oziroma vrednosti, ki smo jih dobili s pomočjo programa Yafu, vnesemo v program TeslaRefactor po eno na vrstico (samo vrednosti desno od enačaja, če smo jih računali s programom Yafu), v polje "Public key (hex)" pa skopiramo vrednost PublicKeyBC.
- S tipko "Find private key" poizkusimo najti dekodirni ključ. Če postopek ni uspešen, odstranimo kljukico pri "Optimization" in vnovič poizkusimo.
- Če se je v polju "Private key (hex)" izpisala vrednost, odpremo program TeslaDecoder, kliknemo na "Set Key" in vrednost skopiramo v polje "Key (hex)". Pod "Extension" izberemo podaljšek, ki so ga dobile kriptirane datoteke.
- Z "Decrypt Folder" izberemo mapo, v kateri se nahajajo kriptirane datoteke. Pojavi se okno, če želimo pobrisati zakodirane datoteke ("Do you want to delete original encrypted files after decryption?"). Priporočamo, da tukaj izberete "Ne". Program bo sedaj dekodiral datoteke v mapi.
- Če je bil postopek dekriptiranja uspešen, se v mapi sedaj nahajajo odkodirane datoteke z originalnimi podaljški.

Največ žrtev izsiljevalskega virusa TeslaCrypt v Sloveniji je bilo konec lanskega novembra in v začetku decembra. Največ jih je bilo zaklenjenih s podaljškom .VVV. Virus se je širil po elektronski pošti, zašifriral datoteke na disku in zahteval plačilo odkupnine v višini 500 dolarjev (461 evrov). Sporočilo je imelo za zadevo datum in čas v ameriški obliki (recimo: “11/24/2015 9:20:27 AM” ali “11/28/2915 10:22:58 AM”). Vsebina je bila prazna, v prilogi pa je bila ZIP datoteka - love.zip ali img.zip, lahko pa tudi doc_u54kDZ.

Ob odprtju se je v njej nahajala javascript datoteka (s končnico .js). Virus se je presnel ob kliku. Zašifriral je dokumente, slike in druge datoteke, se izbrisal z računalnika in po datotečnih mapah odložil navodilo za plačilo odkupnine v 160 urah. Zašifriral je tudi datoteke na vseh dostopnih omrežnih diskih, so pojasnili v SI-CERT.