Дексорист v2.22.2.0 (ололо-актуальная версия) конечно же восстанавливает файлеки текущей (v2.32) версии паблик-энкодера. Если юзать крипторы-инжекторы, которые по сути держат закриптованный фаел у себя в контейнере, то тулза идет лесом и нужно снятие крипта для получения ключа и рекавера файлов. Аффтары перекодели алго поиска конфига в ресурсах, теперь это не обращение с ресурсу с константным именем (что было в духе высера первокура), а энум всех ресурсов, попытка декрипта каждого и поиска в них метки. Метку достают из реестра — юзеру дают выбрать один из заксореных фаелов, смотрят его расширение, топают в HKEY_CLASSES_ROOT\%расширение%, узнают там строку для поиска в этом же разделе (чесслова не ибу как оно называется, просто рандомная строка, которая и указывает на раздел с инфой о местоположении дропнутого бинарника энкодера) - 15 рандомных для каждого билда символов латиницы. Ресурс декриптуют (первые 16 байт конфига - ключ для ксора), и ищут эту строку, если находят — то ключ определяют как верный и юзают его для декрипта.

По-другому не сделаешь, оно ведь перечисляет все ресурсы. Подсунуть перед реальным конфигом фейковый вполне реально - пара сотен рандомных байт, первые 16 обязательно рандомные, куда-нибудь внутрь них всунуть эту строку из реального ресурса и заксорить весь конфиг первыми 16-ю байтами и прицепить перед реальным конфигом, думаю файлеки будут убиваться на отлично. Как не изъебывайся, при таком алгоритме поиска конфига, такой вот хитро-невъебенный фэйковый конфиг можно будет делать всегда, варьироваться будет только уровень сложности и гиморности создания оного. Логичным было бы смотреть по коду какой он id ресурса юзает, но в реальности крипторы такую возможность жесткачем обламывают.

Самым же простейшим и адекватным является убивание самого бинаря энкодера, т.е. отсутствие дропа и самоудаление оригинального файла после работы. Тогда для компенсации нужно дропать скрипт/батнек с сообщением и в реестре ассоциировать с ним заксоренные файлы - чтоб юзер не забывал о необходимости платного рекавера файлов. Тогда в системе вообще не будет ключа. Вазонез не крипто-знаток, но без ключа, банальный 128-битный ксор является граблями. Хотя учитывая схожие хедеры файлов одного типа, 16 байт для ключа мало - на будущее нужно юзать килобайт и более.

Вполне вероятно, что если юзать обычное самоудаление (через консольку или батник), то файл можно вернуть и получить ключ. Себя нужно перезаписывать. Возможно это даже лучше самоудаления, вместо del %encoder% >> NUL исполнять что-то вроде dir > %encoder%.

С самоудалением же появляются грабли - реально ли юзеру вернуть файлы. Билд отработан, удален, файлы зашифрованы и при запуске оных отрабатывает скрипт с сообщением об оплате - как органично реализовать декрипт? В текущем состоянии, из-за массового употребления локеров (особенно те, в которых фича снятия по коду/времени не реализована вообще - убил бы, я против нечестного вымогательства, пиздец термин, ага), сообщения на форумах в духе "оплатил - файлы вернул" смотрятся как убогий пиар злых злядских злоумышленников, что печально. В этом варианте развития событий нихуя толкового и адекватного я придумать не могу. Второй бинарь для декрипта, а-ля жпкодэ - это хуёвничество, уж извините.