Supongo que esto se debe en gran medida al malware y al sistema operativo, por lo que potencialmente podría ser muy amplio, por lo tanto, el típico.
La computadora de un usuario ha sido infectada por un malware que tiene como objetivo cifrar todos sus archivos para extorsionar dinero. Obviamente, no va a cifrar todo, ya que la computadora deberá permanecer en funcionamiento para intentar explotar el dinero del usuario final y reducir el riesgo de detección mientras está en funcionamiento.
¿Cómo sabe el ransomware lo que es seguro cifrar sin accidentalmente "dispararse en el pie"?
- ¿Se aplica a ciertas carpetas 'típicas' que dicen $ {userhome} \ pictures | music | documents | etc.
- ¿Se aplica a ciertos tipos de archivos esperados, por ejemplo, doc | jpeg | mp3.
- ¿Se aplica a todo, excepto a ciertas carpetas (por ejemplo, ventanas o archivos de programa)?
También, ¿qué sucede si hay varias unidades (por lo tanto, SSD para programas y SO, HDD para archivos y unidades de red para programas / archivos compartidos, etc.) o si los programas no están almacenados en los lugares típicos?
Al final del día, sé que al atacante no le importa que bloqueen una máquina de la víctima, pero seguramente si fueran a bloquear todas las máquinas, entonces no serían capaces de extorsionar dinero sin pasar por alto todo el aspecto del rescate. (La respuesta obvia es que esperan que los usuarios promedio sigan las mismas estructuras de carpetas predeterminadas).