仅根据我的经验。

在他们决定是时候暴露自己之前，他们是否只是在后台运行？

是的，它们在后台运行，并对所有文件进行加密和隐藏副本。

用户在被告知之前没有看到损坏吗？

没那么多！当加密发生时，他们可能会遇到一些性能下降。

为什么用户不期待什么？

他们创建一个隐藏分区，在其中复制加密文件，然后格式化主分区复制所有加密文件并删除隐藏分区。

我是如何恢复我的文件的？在我的例子中，他们使用 Bitlocker（无 TPM）作为加密工具，我应用了安装 HDD（Elcomsoft Forensic Disk Decryptor）的旧技术。

他们如何工作的简短回答：

感染

加密和隐藏副本

用复印件替换原件

重新开始

显示信息

使用加密文件系统（就像 Bitlocker 或 FileVault），它也可以对文件系统进行实时加密。它们实际上会更改您的文件系统或分区表，而操作系统不知道发生了什么。他们还让其他软件监控其进度，并在完成后通知用户。