M>>Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.

E>Начало выполнения кода расшифровки все равно будет одинаковое для всех файлов, забанят по этому участку. Не по этому, так по другому. Никто разбираться с зашифрованными данными не будет, есть сигнатура -> черный список -> детект. Это не решение данного вопроса, это может помочь, но только по началу, очень недолго.

Код для расшифровки — очень маленький, и его тоже можно менять на уровни аналогичных ассемблерных команд.
И если они по такому маленькому коду будет детектить, то у них будет много ложных срабатываний на другой софт.