＞それとも感染時に鍵を自動生成して、非公開鍵(もしくは生成に使った乱数)をどこかに送信するんですかね?

わざわざ送信しなくても、対称鍵を自動生成してそれで暗号化し、その対称鍵を公開鍵で暗号化して保存しておき、
お金を払う人にはその暗号化された対称鍵を送らせて、自分の秘密鍵で復号した対称鍵を送り返せばすみますね。
私ならそうします。

　やましいところをついて警察に通報しにくいとかならともかく、普通にウィルスに引っかかっただけなら通報しない理由が考えにくい。そして、金の流れを追っていけば犯人にたどり着いてしまう。

　不特定多数に相手に足のつかない安全な金の受け渡し手段を確保しないと確実に捕まると思うんですが、リスク高くないですかね、この商売。

秘密鍵から生成した公開鍵で暗号化と復号化をするようになっているのではないかと。購入できるのが公開鍵であれば、そこから秘密鍵を作成するのは実質的に不可能です。