SID лежит в реестре,в разделе HKEY_USERS.
Выглядит примерно так:
HKEY_USERS/S-1-5-21-1111111111-2222222222-3333333333-500.
Крайние три цифры-это user ID.
Правда я затрудняюсь сказать,может ли это тебе помочь(там скорей всего не одна подобная запись).
Ты можешь определить по SID "тип" пользователя,соответсвующий данному SID,как-то:
S-1-0-неизвестная группа или группа,в которой отсутствуют члены.
S-1-1-группа "все пользователи".
S-1-2-локальный пользователь.
S-1-3-создатель объекта(файла,каталога).
S-1-4-user ID не является уникальным.
S-1-5-стандартная учетная запись.
..но вот где там искать-я не в курсе.. (только теоретически).Возможно в разделе Identites SID.
Я просто не понимаю,каким образом у тебя файлы зашифровались..(а сам я как-то не трогал шифрование)
Попробуй для начала выяснить,кто является "владельцем" файла:ПКМ-Свойства-Безопастность-Дополнительно-Владелец.(тут можно изменить владельца-но,ИМХО,стоит сначала попробовать добавить "владельца" в "полный доступ" на вкладке "Действ.разрешения").
Какие группы/пользователи и какой доступ имеют к этому файлу(вкладка "Разрешения").
Попробуй,может получится..
Насчет нового ключа шифрования с помощью утилиты cipher.exe -я бы не спешил(как бы хуже небыло).В любом случае сначала требуется установить,какой пользователь зашифровал файлы.