вирус шифровальщик как работает

Ответ от ...[гуру]
Учитывая доступность CryptoAPI и такие языки как C# (есс-но C# не лучший выбор 😉 - написать его может почти любой адекватный школьник. И кст. в большинстве случаев это даже не вирус, а троян, который "впарили" жертве и который жертва добровольно запустила (скачала кейген с васипупкинского сайта, получила письмо от судебных приставов с ссылкой и открыла и т. д.)
Как работают такие вирусы - получают в первую очередь папку с профилем пользователя (логично-же), начинают рекурсивно обходить папки в поисках файлов, которые обычно нужны пользователю (картинки, документы от MSO, базы данных (в т. ч. и 1С и т. д.) в лучшем случае шифруют с помощью своего ключа (который знает только автор вируса) _часть_ файла. обычно ближе к началу (почему часть - шифровать весь файл долго, а у вируса задача поразить как можно большее число файлов). Пишут зашифрованную порцию обратно поверх. Оставляет после себя какой-либо идентификатор (чаще просто в название добавляют email и текстовый файл как связаться) и некий идентификатор (тоже как ключ) уникальный для этой машины. При оплате автор высылает декодер. Или не высылает.
Это в "лучшем" случае. В "худшем" - просто пишут туда случайный набор данных, просят денег, а декодер не высылают, т. к. его нет в принципе. Тут и CryptoAPI и вообще кроме чтения/записи и обхода по папкам - знать ничего не надо. =)
...
Просветленный
(44355)
Я не пишу вирусы и прочие программы, которые могут повредить пользователю. Даже в целях образования.
Был случай, когда написал для примера простенький вирус. Времена MSDOS, .com файлы - рай просто для вирусов. Человек тоже говорил - просто интересно посмотреть. Принес в школу...
А учителям пришлось потом всё восстанавливать. Вирус удалял обе копии FAT. Соотв. восстановление файлов практически невозможно (кроме того как по сигнатурам и если они не фрагментированы, но и то название и где лежал не вытащить).