赎金能影响隐藏或“卸载”驱动器吗？

Question

我对洗劫工具的运作方式有一定的了解。但是，如果工作站上的卷/驱动器不可见或没有按照Windows工作站格式化，我想要一些输入，说明它可以做什么。

在我的设置中，我有两种情况。

1. 我使用TrueCrypt (旧程序，但它对我起作用)，其中保留的驱动器字母显示为未格式化的驱动器，除非您挂载您的个人安全/加密驱动器。在这种情况下，Ransomware只会看到一个未格式化的驱动器(假设驱动器X:)。
2. 我有一个使用分区工具设置为隐藏的分区。

在这两种情况中，赎金攻击是否真的可以取出数据？

Answer 1

这是没有实际答案的。这完全取决于恶意软件设计得有多好。

有些文件与加密基本文档一样基本，有些则更深入地禁用以更高级方式备份、恢复和访问磁盘的任何方法。

目前，没有反truecrypt恶意软件(即一些专门设计考虑到TC )。

可能存在的危险是:密钥记录器可以找到您键入的密码来访问加密的文件或卷，并且允许它访问加密的文件或卷，但这必须是专门为此设计的。普通恶意软件不会挖掘TC卷或容器文件。

Answer 2

因此，暂时忽略ransomware这个词，并意识到它是软件程序，它会做或尝试做程序员写它做的任何事情。

truecrypt是免费的，我目前还不知道它是否是开源的，但让我们假设它是开源的。因此，编写ransomware的程序员可以访问所需的所有信息(truecrypt源)来编写这样一个程序，以了解truecrypt在您的计算机上所能做和已经做的所有事情。包括隐藏的硬盘。

我们只需编写ransomware就可以对任何可访问的卷进行加密，无论格式化与否。另外，也不需要对卷进行加密，然后说你做了并要求赎金，你可以更改/重新格式化分区，然后简单地覆盖然后索要赎金(不像要求赎金是诚实的).提取数据的方法很多。

一个ransomware程序是否仅仅是truecrypt (或任何其他免费/开源加密软件)在安装后重新编译和修改，以便使用与系统连接的任何类型的存储(格式化或未格式化)来做任何事情？我想说的是，几乎一旦程序获得了更高的权限，无论是windows还是linux。

Answer 3

TrueCrypt加密卷存储在硬盘(或闪存等)上的文件中。因此，这个容器文件可以被ransomware加密，就像任何其他文件一样。

PS，VeraCrypt已经找到了TrueCrypt中断的地方，插入了一些安全漏洞，并且可以读取TrueCrypt卷。