La risposta accurata varia a seconda del ransomware specifico e delle sue mutazioni in vigore.
In generale però, dobbiamo assumere che quando può, lo sarà. cioè, se il codice ransomware è attivo nel momento in cui sblocchi l'unità, e se rileva la nuova unità, può (e lo farà) quindi crittografare i contenuti.
Oh BTW, non c'è nulla che impedisca al malware di distruggere il contenuto delle unità bloccate / crittografate (a meno che non abbia nemmeno accesso in scrittura). Non scommetterei su un benevolo ransomware che lascia da solo le mie unità bloccate.