È possibile che gli attacchi ransomware abbiano solo mappato le unità e non l'unità locale?
Questo è del tutto possibile, anche se sarebbe un po 'troppo specifico per la maggior parte dei ransomware là fuori, a meno che non si tratti di organizzazioni specifiche che sono note per utilizzare le unità di rete mappate. Sarebbe più utile per l'attaccante colpire sia le unità locali che quelle di rete se l'obiettivo è quello di ottenere il maggior numero possibile di dati.
Il ransomware è un software, quindi può essere scritto per indirizzare tutto ciò che vuole che altri software siano in grado di utilizzare.
L'obiettivo del ransomware è di fare soldi. I programmatori fanno ciò che possono per massimizzare i soldi che possono fare. Quindi, ha senso che il ransomware verifichi se il dispositivo infetto è collegato alle unità mappate. Se lo è, allora è probabile che faccia parte di un'azienda, ed è più proficuo criptare i file aziendali condivisi e richiedere il riscatto dall'azienda anziché crittografare i file locali, il che limita l'impatto. Una macchina infetta può essere isolata e contenuta. i file condivisi su un'unità mappata sono molto più difficili da isolare e contenere. L'obiettivo è la massima portata con il massimo impatto in modo che l'azienda abbia maggiori probabilità di pagare il riscatto.
L'altro motivo per lasciare da solo l'unità locale è che l'anti-virus della macchina potrebbe rilevare l'attività di crittografia anche se non rileva l'infezione. Ma molte aziende non eseguono l'anti-virus sui file server (a causa del calo di prestazioni). Quindi il ransomware può rimanere nascosto più a lungo per aumentarne l'impatto.
Se non ci sono unità mappate, il ransomware può guardare all'unità locale per richiedere il riscatto dell'utente.
Leggi altre domande sui tag ransomware