Como os vírus do ransomware realizam sua criptografia?

Eu conheço a configuração clássica ... abra um arquivo, clique em um link - bam: execução de código malicioso. Oh não!

Mas como isso leva a "todos os meus arquivos são subitamente criptografados"?

A palavra operativa aqui é "de repente". A aplicação de criptografia de arquivos ou discos completos requer muita compactação de disco e número, e não entendo como isso acontece "imediatamente". Eu tenho teorias ...

• (A) O vírus substitui o driver de disco por um "borked", então, após a reinicialização, ele não pode ler seus arquivos não-realmente-criptografados (além da mensagem de ransomware)

ou

• (B) O vírus força uma reinicialização e mostra uma mensagem aleatória e, em seguida, executa a tarefa de criptografia enquanto o usuário está lendo a mensagem e entrando em pânico .

Agora, na situação (A), a solução simples é ler a unidade com um computador diferente, o que é evidentemente ineficaz, de modo que está fora. Na situação (B), deve-se (supondo que um não esteja em pânico total) ser capaz de (a) observar o processamento do disco à medida que a tarefa de criptografia é executada e (b) salvar (alguns) arquivos interrompendo a maldita tarefa o mais rápido possível. Mas, dada a rapidez com que esses vírus bloqueiam o acesso a grandes quantidades de armazenamento em rede, duvido também dessa teoria.

Então, como os vírus do criptografam "muitos" dados "imediatamente"?

Editar devido a comentários: Ah, então é a situação (B).