Avast の復号化ﾂｰﾙのﾍﾟｰｼﾞから引用｡

CryptoMix (ｵﾌﾗｲﾝ)

CryptoMix (別名： CryptFile2 または Zeta) は 2016 年 3 月に初めて確認された形態のﾗﾝｻﾑｳｪｱ ｳｲﾙｽです｡2017 年始めには､CryptoMix の変種である CryptoShield が出現しました｡この 2 つの変種では､ﾘﾓｰﾄ ｻｰﾊﾞｰからﾀﾞｳﾝﾛｰﾄﾞされるﾕﾆｰｸな暗号化ｷｰによって AES256 暗号化が使用され､ﾌｧｲﾙの暗号化が実行されます｡ただし､ｻｰﾊﾞｰが利用できないかまたはﾕｰｻﾞｰがｲﾝﾀｰﾈｯﾄに接続していない場合､このﾗﾝｻﾑｳｪｱでは固定ｷｰ (｢ｵﾌﾗｲﾝ ｷｰ｣) によるﾌｧｲﾙの暗号化が実行されます｡

重要：提供される復号ﾂｰﾙがｻﾎﾟｰﾄしているのは､｢ｵﾌﾗｲﾝ ｷｰ｣で暗号化されたﾌｧｲﾙのみです｡ﾌｧｲﾙの暗号化にｵﾌﾗｲﾝ ｷｰが使用されたのではない場合､弊社のﾂｰﾙではﾌｧｲﾙの復元は実行できず､いかなるﾌｧｲﾙの変更も行われません｡ 無料ﾗﾝｻﾑｳｪｱ復号ﾂｰﾙ | ﾌｧｲﾙのﾛｯｸを解除 | Avast

赤字が鍵になります｡
感染したPC 上で暗号化を行うわけだから､そいつが暗号化するためのｷｰを持っていることは想像に難くない｡
暗号化のﾙｰﾁﾝも自前で組んでいるのではなく Windows の API を使うのでしょう｡
Windows でｱｾﾝﾌﾞﾗを読める人なら､Windows の API を呼び出しているﾎﾟｲﾝﾄを探ってそのﾊﾟﾗﾒｰﾀをたどれば鍵にたどり着けそう｡
256ﾋﾞｯﾄの鍵をｾﾞﾛから探り出すことに比べると難易度はかなり低い｡

攻撃をかける側も､鍵を埋め込んでいても素直に暗号化のAPI に渡すのではなく色々な処理を入れたり､ﾀﾞﾐｰの処理を入れたりというように分かりにくくする工夫はいくらでもできるので､復号ﾌﾟﾛｸﾞﾗﾑを作れたり作れなかったりということになります｡
＃ 初期の頃のやつは暗号化が単純ということかな

こういう例もある｡

ESET､ﾗﾝｻﾑｳｪｱ｢TeslaCrypt｣の復号鍵を開発者より入手､復号ﾂｰﾙを公開
http://internet.watch.impress.co.jp/docs/news/758386.html