no nevím.. ransomware který jsem viděl (asi 7 typů během 4 let) nebyl žádnej sofistikovanej program kterej by primárně šel po zálohách. Zjevně to jelo postupně po souborech který měl uživatel k dispozici, tedy i síťový složky a všechno co našel na síti kam měl danej uživatel přístup.
Apokalypsa byla pokud se to dostalo na AD server s prihlášeným účtem admin.. (zřejmě pres RDP) - vypláchlej server, bitový kopie a všechny stanice který byly v tu dobu zapnutý.
Naopak vždycky z principu přežily zálohy na Synology (Hyperbackup, Cloudstation backup atp) a BackupPC na linuxu, zálohy přes FTP protokol který dělal Cobian atp.
Zajímavý že na velkejch discích kde bylo statisíce souborů to zašifrovalo 256.000 souborů a zbytek nechalo.. asi nějakej překročenej counter