ransomware可以加密BitLocker锁定的驱动器中的文件吗？

Question

我对洗劫器的工作原理有大致的了解。不过，我想知道ransomware是否会锁定一个锁定的比特存贮器驱动器。我很少解锁那个驱动器，它只会被解锁作为备份。那么，ransomware会加密这个驱动器吗？

Answer 1

如果ransomware完全可以访问您的操作系统，没有什么可以阻止它对您的数据进行加密，包括BitLocker加密的卷。ransomware可以简单地再次加密已经加密的数据，这次使用自己的密钥。

原则上，BitLocker不能保护您不被ransomware攻击-相反，它可能被ransomware滥用来锁定您自己的数据。这只是罪犯如何实施他们的赎金包的问题。如果BitLocker似乎阻止了一些ransomware，那只是因为这些ransomware没有考虑到BitLocker工作的层。在现实中，这种类型的赎金存在，例如: Petya (虽然它似乎无法操作BitLocker支持的卷，AFAICT)。

换句话说，BitLocker为“保护您的数据不被ransomware锁定”所做的工作大致相当于“磁盘脱机卷”之类的操作。

有些勒索软件不可能简单地恶意加密受害者的数据，他们可能在加密前窃取(复制)这些数据。在此之后，罪犯将能够估计这些被盗数据的“价值”。因此，在这种情况下，BitLocker似乎是有益的，因为对于罪犯来说，盗取(明文)数据有点困难。

Answer 2

准确的答案取决于特定的赎金及其有效的突变。

然而，总的来说，我们必须假设，当它可以的时候，它就会。也就是说，如果ransomware代码在您解锁该驱动器时处于活动状态，并且如果它检测到新驱动器，它可以(并且将)对内容进行加密。

此外，没有什么能阻止恶意软件破坏锁定/加密驱动器的内容(除非它甚至没有写访问权限)。我不会押注好的洗劫器让我的锁定驱动器独处。