En la época, muchos virus infectaban casi todos los binarios que podían encontrar, pero estos días ya no existen. La mayoría de los programas maliciosos están tranquilos ahora e intentan esconderse en un lugar preferiblemente discreto como el directorio System Volume Information
, que por defecto está bloqueado para todos los usuarios, incluso los administrativos. Este directorio es un buen lugar para ocultarse porque existe en todos los sistemas Windows modernos (y no tan modernos), lo que hace que la mayoría de todos los sistemas sean atacados por malware. Este no es el caso cuando se trata de particiones de recuperación. No están presentes en todas partes, e infectarlos de una manera que les permita sobrevivir al proceso de restauración podría no ser la cosa más fácil de hacer.
Técnicamente, hay virus seguros que infectan la partición de recuperación porque infectan todos o binarios aleatorios, pero infectarán la partición de recuperación "por accidente" y principalmente de una manera que no sobrevivirá a una restauración del sistema desde esa partición. Nunca he oído hablar de un malware que esté dirigido a particiones de recuperación en particular.
Un desarrollador de malware que desea específicamente darse cuenta de esto necesita saber cómo funciona el proceso de recuperación y este proceso será diferente de un proveedor a otro y quizás incluso de un modelo a otro. Esto aumenta el gasto de malware en gran medida.
Creo que el problema general aquí es que un archivo infectado en la partición de recuperación podría no causar una infección en el sistema restaurado. Hay algunos archivos binarios, pero la mayoría de los datos están almacenados en mi experiencia en una imagen de la partición que se restaurará. Cuando el malware infecta los archivos binarios y se ejecutan para iniciar el proceso de recuperación, solo se ejecutarán en el sistema ya infectado, pero después del reinicio se irán. Por lo tanto, el atacante debe manipular la imagen e incluso la herramienta de recuperación si verifica la suma de comprobación de la imagen que se va a restaurar.
En general, seguramente es posible pero no muy eficiente porque es un ataque muy específico que no funciona en la mayoría de los sistemas infectados, lo que lo hace poco atractivo para los desarrolladores de malware.