¿Es posible que el ransomware ataque solo a las unidades asignadas y no a la unidad local?
Esto es totalmente posible, aunque sería un poco demasiado específico para la mayoría de los ransomware disponibles a menos que esté dirigido a organizaciones específicas que se sabe que usan unidades de red asignadas. Sería más útil para el atacante apuntar tanto a las unidades locales como a las de red si el objetivo es redirigir la mayor cantidad de datos posible.
El ransomware es software, por lo que puede escribirse para apuntar a cualquier cosa que quiera que otro software sea capaz de usar.
El objetivo del ransomware es ganar dinero. Los programadores hacen lo que pueden para maximizar el dinero que pueden hacer. Por lo tanto, tiene sentido que el ransomware compruebe si el dispositivo infectado está conectado a las unidades asignadas. Si lo es, entonces es probable que sea parte de un negocio, y es más rentable cifrar los archivos empresariales compartidos y exigir el rescate de la empresa en lugar de cifrar los archivos locales, lo que limita el impacto. Una máquina infectada puede ser aislada y contenida. Los archivos compartidos en una unidad asignada son mucho más difíciles de aislar y contener. El objetivo es alcanzar el máximo alcance con el máximo impacto, de modo que es más probable que la empresa pague el rescate.
La otra razón para dejar solo el disco local es que los antivirus de la máquina pueden detectar la actividad de cifrado, incluso si no detectó la infección. Pero muchas empresas no ejecutan antivirus en los servidores de archivos (debido al impacto en el rendimiento). Así que el ransomware puede permanecer oculto durante más tiempo para aumentar su impacto.
Si no hay unidades asignadas, el ransomware puede buscar en la unidad local para exigir el rescate del usuario.
Lea otras preguntas en las etiquetas ransomware