Los virus que cifran sus archivos, como el 'Locky' muy común recientemente, parecen realizar mucho trabajo antes de que se 'terminen'.
Me pregunto, ¿cuándo se ejecutan estos programas? Deben tomar bastante tiempo, porque obviamente tienen que leer / escribir muchos archivos. Además, es posible que quieran demorar en mostrar su presencia al usuario, para que puedan cifrar más archivos antes de ser descubiertos.
¿Se están ejecutando en segundo plano, antes de decidir que es hora de revelarse? ¿El usuario no ve el daño antes de que se lo informen?
editar : no consideraría esto como un duplicado, ya que preguntaba cuándo esto ocurre, no tanto cómo .