Un ransomware ha bloccato il mio sistema operativo su C. Le altre unità sono a rischio?

Come spiegato nei commenti, il tuo problema non sembra affatto ransomware.

Ma se fosse ransomware, non puoi sapere se i file su altre unità sono salvati. Ci sono innumerevoli diversi tipi di ransomware là fuori che hanno tutte diverse strategie per trovare file che valgono la crittografia. Alcuni potrebbero cercare tutte le unità disponibili per i file, alcuni potrebbero concentrarsi solo su posizioni note come C:\Users\ . Ma in genere si deve supporre che qualsiasi volume di archiviazione in cui il sistema disponga di autorizzazioni di scrittura sia un potenziale obiettivo.

Visto che i file sono ancora nelle directory non significa necessariamente che non siano crittografati. È possibile che il ransomware rimescoli i file senza rinominarli. Dici di poter "fare operazioni" su di loro, ma non di che tipo di "operazioni" di cui stai parlando. A meno che una di queste "operazioni" non sia aperta con un'applicazione di visualizzazione e guardi il loro contenuto, non puoi essere sicuro che il file sia illeso.

È certamente possibile che il ransomware avesse un'azione di propagazione simile a un virus auto-replicante, e avrebbe potuto rilasciare cavalli di Troia su qualsiasi unità montata quando il ransomware ha attaccato. Prenderò in considerazione la messa in quarantena di tutte le unità a cui ha accesso la macchina infetta, almeno fino a quando non si accorgerà che il problema è stato contenuto. Ciò includerebbe le condivisioni di rete.

Per essere più sicuri nelle operazioni di ripristino, crea una macchina virtuale che non ha accesso alla rete ed esegui i tuoi sforzi di recupero su copie dei dischi interessati. Alcuni ransomware che ho visto in natura sono scritti in .Net e potrebbero teoricamente attaccare file su una macchina Linux se sono eseguiti in Mono.

In primo luogo, il tuo sistema chiede un riscatto?

Il ransomware è un "crimine commerciale" che significa che lo scopo è fare soldi.

Per farlo efficacemente loro (i criminali) devono fare 3 cose.

Per prima. Hanno bisogno di tenere in ostaggio qualcosa di tuo valore.

Seconda. Devono chiedere soldi.

Terzo. Devono dirti come ottenere loro i soldi che stai chiedendo.

Da ciò che descrivi non sembra soddisfare alcun criterio di ransomeware.

Sembra che l'installazione di Windows possa essere corrotta o che si possa avere un maggior numero di virus del mulino.

Il ransomeware agisce scansionando il tuo INTERO sistema per i file di destinazione e poi crittografa quei file che mirano a cose che "riscattano criminali". Pensa che probabilmente valuteresti la pena pagare per tornare indietro. Le prime versioni avrebbero scansionato e crittografato i file su ogni lettera di unità. Le versioni più recenti scansionano le reti locali per le condivisioni UNC con permessi di scrittura.

Il file ritenuto utile da riscattare sono di solito file di documenti, file excel, file di immagini, ecc. Qualche tempo fa mi sono imbattuto in un Ransomware che usava abilmente una sorta di estensione di sistema "apri con MS Word" per indirizzare qualsiasi cosa si aprisse con Microsoft Word. I proprietari di quel sistema hanno cambiato l'associazione file per i file DOC in un altro programma, ma i file DOCX erano ancora associati a MSWORD e sono stati crittografati.

La crittografia di alcune centinaia o migliaia di file potenzialmente grandi richiede notevoli risorse di sistema e i ransomware in genere cercano di non danneggiare i file di sistema in quanto ciò potrebbe influire sulle risorse di sistema o sulla velocità di crittografia o decodifica di tali file.

Una volta che la manciata di resoconti di notizie di ransomware non restituisce file dopo il pagamento di riscatti, la gente smette di pagare i riscatti ei criminali smettono di fare soldi.

Ogni circostanza presenta variazioni ma la tua situazione non sembra ransomware.

Direi che se non si attiva il sistema operativo Windows, il rischio per altre unità e partizioni è minimo. Tuttavia, concordo con l'idea che questo non sembra come il ransomware, in quanto manca alcuni tratti chiave come la richiesta di denaro / oggetti di valore. Se stavo per estrarre i dati dal disco, in realtà rimuoverei l'unità fisica, inserirla in un altro PC e aprirla in una macchina virtuale per essere copiata su un backup o su un'unità flash.