|
Per quello ti ho chiesto anche se usavi programmi anti-ransomware: file cosi architettati e riproposti sempre allo stesso modo sono tipici o di ambienti di testing o di honeypot. Per me il fatto che il "drive A" coincida per dimensioni con C conferma che c'è una sorta di "scudo di virtualizzazione" con cui A vuole spacciarsi per un drive legittimo e reagire appena qualcosa inizia ad essere attaccato o cifrato. Inoltre, plausibilmente, il ruolo di A è anche di controllare se vengono lanciate cifrature sulle periferiche: i ransomware più maligni cercano anche risorse di rete, periferiche di backup online, etc. per fare più danni possibili ed impedire che tutto si risolva semplicemente ripristinando un backup (motivo per cui almeno un backup va tenuto sempre offline, come da regola 3-2-1-1-0).
Prediche a parte, nel link che hai postato sembra che qualcuno abbia risolto reinstallando il programma, anche se non è detto che questa esposizione del "drive A" ne comprometta il funzionamento (resta il fatto che se in passato non accadeva, qualcosa di anomalo c'è; hai aggiornato il programma di recente? Hai modificato qualche impostazione riguardante l'avvio di Windows?).
|