идентификатор действительно повторяется для определенного состояния системы,
но скорее всего ведется учет запусков, и для каждого запуска создается новый ключ

вот скажем для первого запуска
5E5E1BEC5BE045A020AC|0
а это уже для нового запуска
5E5E1BEC5BE045A020AC|46|2|12

по xtbl не могу сказать, повторяется ли ключ шифрования на одной и той же машине. (маловероятно, что это так.)

для VAULT ключ будет другой, при каждом новом запуске шифратора на одной и той же машине.

Андрей,
для тестирования шифраторов (а так же программ по детектированию и блокированию шифраторов) используйте виртуальные машины.

если проблема решена,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

похоже, никак,
поскольку у вас Windows XP, а теневые копии создаются для документов начиная с Vista
uVS v3.85 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

образ чистый,

по восстановлению документов проверьте теневые копии дисков.

по расшифровке документов если есть лицензия на антивирус, обратитесь за помощью в [email protected]

тестируем EasySync NetArchiver

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

https://www.easysyncsolutions.com/products.html

ORION,
знаком с такого рода продуктами?
посмотри, можно ли их использовать для тестирования обмена шифраторов с серверами?

https://www.easysyncsolutions.com/products.html

EasySync NetArchiver will log all internet traffic going in and out on the computer and store it in a local Database for a predetermined amount of days. This way if Ransomware gets through other prevention measures, you will always be able to look back the set amount of days from the current date and recover the key that it used to encrypt your files. Logs can also be helpful for figuring out information that happens on your network.

гугл-перевод
EasySync NetArchiver будет регистрировать все интернет-трафика происходит в и из компьютера и сохранить его в локальной базе данных в течение определенного количества дней. Таким образом, если Вымогателей получает посредством других мер профилактики, вы всегда будете в состоянии оглянуться назад на определенное количество дней от текущей даты и восстановить ключ, который он используется для шифрования файлов. Журналы также могут быть полезны для выяснения информации, что происходит в вашей сети.

1. добавьте в архиве несколько зашифрованных файлов
по ссылке, или через вложение на форуме

2. если есть источник заражение: архив, зараженное сообщение или ссылка на зараженный файл,
вышлите в почту [email protected]

3. судя по расширению файлов, и по описанию - похож на вариант Cryptolocker - TeslaCrypt
http://blogs.cisco.com/security/talos/teslacrypt
https://www.virustotal.com/it/file/3372c1edab46837f1e973164fa2d726c5c5e17bcb888828c­cd7c4dfcc234a370/analysis/
http://www.bleepingcomputer.com/forums/t/568525/new-teslacrypt-ransomware-sets-its-scope-on-video-gamers/
здесь есть декодеры(декрипторы)
http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information

4. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!