A meno che la virtualizzazione impedisca fisicamente al sistema di opreating di vedere il dispositivo come tale (ad esempio che il "disco" sia realmente un VHDX o simile), la risposta è "sì, ovviamente". Non c'è nulla di speciale e non puoi fare nulla per evitare che ciò accada, una volta che il malware ha acquisito i privilegi di amministratore.
Non saprei a memoria come aprire il dispositivo sotto Windows (qualcosa come \device\harddisk1
o così?), ma ho sicuramente sovrascritto il dispositivo raw sotto Linux più di una volta. Qualcosa come cat /dev/random > /dev/sda
ha funzionato "bene", come ... per sempre , assumendo che tu abbia effettuato l'accesso come root
. Questa è la cancellazione sicura da parte del povero in mancanza di qualcosa di meglio.
L'installazione di un boot loader (che è la parte 1 del ransomware) non è altro che fare proprio questo, solo con dati non casuali. Sovrascrivi il boot loader con un tuo binario che mostra il testo "pay me, sucker".
Si noti che questo bootloader (né la parte encrypt / decrypt, se esiste una parte di decrypt) deve essere in grado di accedere alla partizione o al filesystem in modo significativo.
Crittografare (o ingarbugliato, l'utente non può davvero dire una differenza) è la seconda parte, e questo è altrettanto facile. Se è possibile scrivere un boot loader, è possibile scrivere settori. Quindi, invece dei file, criptare settori sul dispositivo raw. A chi importa della struttura logica all'interno di quei settori quando puoi renderli inutilizzabili in entrambi i casi? Tipo di partizione diverso, diverso filesystem? Non ti potrebbe importare di meno. Qualcuno che vuole usarli deve sapere, non è necessario saperlo.
Questo è qualcosa che il malware può fare in pochi secondi, non c'è nemmeno bisogno di essere segretamente o super-intelligente. Non è necessario mantenere un profilo basso per evitare il rilevamento. Nel momento in cui l'utente nota anche la luce che lampeggia furiosamente sul computer e si chiede cosa può succedere, il malware avrà già sovrascritto centinaia di megabyte (dozzine di gigabyte) di dati. Se il writer di malware possiede solo una minima quantità di intelligenza, questo è sufficiente per sovrascrivere i metadati del filesystem su ogni partizione inclusi i metadati di backup nei rispettivi offset noti e un paio di centinaia di megabyte di file effettivo contenuti.
Certamente, con solo i metadati sovrascritti, è in linea di principio ancora possibile recuperare il contenuto dei file non ancora sovrascritti, ma questa è una cosa eccessivamente costosa da fare, e ben oltre le capacità dell'utente medio (e potrebbe essere impossibile per piccoli file su alcuni file system.
Non è nemmeno necessario crittografare correttamente, puoi anche sovrascrivere i settori con i dati inutili. L'utente non può dire una differenza, si rende conto solo dopo aver pagato se è così stupido da pagare un criminale nella speranza che il criminale si difenda dalla sua parola .
Quindi ... sì, tecnicamente questo non è assolutamente un problema (per la maggior parte dei computer di proprietà della maggior parte delle persone).