каждый файл зашифровывается при помощи RC4 со своим ключом, потом список ключей и соответствующих путей к файлам также шифруется RC4 и хранится на компьютере жертвы. Ключ к списку зашифровывается RSA-1024, его и нужно отправить автору для получения декриптора. Благодаря такой схеме купленный для одной машины дешифратор не будет работать на другой.
Без всяких заморочек, элементарно и просто
кстати хз зачем в вирусе разные открытые ключи для ХР и для ранних версий до Windows XP...

да и непонятно почему первый раз использовался ключ в 660 бит и сейчас сразу не в 2048, а такой, который теоретически можно сломать, а потом добавить в свои базы лекарство...наводит на мысль?) только после взлома надо будет пересмотреть всю политику безопасности и отказаться от использования ключей в 1024 бита...