Eu entendo que, para criptografar terabytes de dados, um ransomware deve trabalhar duro por horas no HDD e talvez por menos de uma hora no SSD.
Então tem que deixar sinais óbvios de fazer isso ... certo?
Um ransomware seria visível na guia Uso de Disco do Windows Resource Monitor? Todos eles estão se comportando dessa maneira ou não?
EDIT: Isto não é nada como os "duplicados" propostos. Esta pergunta está especificamente perguntando - se um tipo particular de malware deverá usar o disco de uma maneira que possa ser detectada na guia Disco do Monitor de Recursos. Qualquer que seja o nome ou disfarçado sob qualquer ... OU usa algum acesso complicado a discos que não podem ser visto pelo Windows ..