Quote:
Originariamente inviato da demon77
Mi sono espresso male dicendo modalità "RAW".
Il ransomware quando cripta non distrugge la partizione, semplicemente legge il file PIPPO.TKS (per dire un esempio a caso con terminazione a caso) e lo cripta secondo un algoritmo. Non ha nessuna necessità di sapere come è utilizzato / aperto quel file. Tutto qui.
Che poi il file sia didtribuito su più settori o meno è la normale gestione del file system del disco.
|
Certo, qualunque sia l'organizzazione più o meno cervellotica del cosidetto FileSystem, non c'è alcun particolare problema a leggere o meglio trattare in I/O la sequenza di bytes che costituisce quello che per il sistema è un file, chiaramente facendo ricorso alle routines di sistema (perchè reinventare l'acqua calda?).
L'unica nota da considerare è che questi maledetti ransomware almeno l'extention dei files candidato al cryptaggio o l'eventuale appartenenza a cartelle di sistema devono considerarla, per evitare di bloccare completamente le attività di sistema, che deve comunque essere ancora bootabile e stare comunque in piedi affinchè il malcapitato una volta pagato possa applicare la chiave inversa e ricostruirsi i files cryptati. Non tutti hanno a disposizone un secondo PC cui dare in pasto i files del PC compromesso per effettuarne il ripristino..