Wenn das nicht nur als falsche Fährte eingebaut ist, dann ist das doch nicht so schlecht.
Irgendwo muss der Schlüssel doch an die CryptApi übergeben werden.

Unmöglich wird das erst, wenn ein zufälliger Schlüssel generiert wird, der nicht mehr auf dem Rechner ist (unwahrscheinlich), oder wenn asymetrische Verschlüsselung genutzt wird.
Btw: Die Dateien sind genauso groß wie vorher?

Hi Bug,

kein zufälliger Key. Das wäre zu aufwendig. Aber man könnte z.B den Username an den Server geben und damit irgendeine Keygeneratorfunktion füttern. Dann diesen Key an den Virus zurückgeben der damit Dateien per AES verschlüsselt.
Wenn man einen Paycode eingibt dann prüft die Gegenstelle anscheinend tatsächlich ob der Paycode korrekt ist - der Viruscode wartet auf das Ergebniss. Den Schlüssel bekommt man also nur wieder zu gesendet, wenn man die Paycodeprüfung besteht.

Verschlüsselt werden nur die ersten paar tausend Bytes einer Datei. Die Datei ändert Ihre Größe nicht. Das weiß ich aber nur vom Hörensagen, da dieser verflixte Virus bei mir immernoch nichts verschlüsselt.