Av bulamaz diye bir şey yok. Tamam içindeki kodları vb göremez ancak neyle şifrelediğini görüp size dosyanın şifrelendiği hakkında uyarı verir. Sezgisel ve davranışsal tespit de edebilir antivirüsler.
Eğer bir dosyayı GitHub'dan açık kaynaklı indirmediyseniz zaten çoğu program şifrelenmiş geliyor. Kim programının kodlarının başka programcılara gözükmesini ister?
Genelde de bu hileler virüssüz olmasına rağmen virüslü tespit edilir ve herkes virüs yazar, ancak bu dosya şifrelendiği için antivirüsler uyarı veriyor demektir. Hiç fark ettiniz mi bazen bazı dosyalarda themida, vmp gibi şeyler yazar tespit açıklamasında. Bunlar işte en popüler şifreleyiciler ve bunları tespit edip sizi uyarıyor.
Çok basit bir login mantığıyla bile VirusTotal bypass mümkün. Ayrıca çoğu hile yapan kişiler 3. parti yazılım olduğu için tespit ediliyor der. Ancak bunu diyenler büyük ihtimalle 3.parti yazılım ne demek onu bile bilmiyor.
Her veritabanında olmayan dosya (veya imzalanmamış bir dosya) antivirüse göre 3.parti uygulamadır. Ancak bazı dosyalar veritabanında olmasa bile dosyanın tarama sonucu temiz çıkabiliyor. Yani olayın 3.parti ile alakası bile yok.
Zaten her dosya da veritabanında yoktur yani aslında şu anda günlük bilgisayarınızda bile çok fazla 3.parti uygulama vardır büyük ihtimalle ancak çoğu antivirüs tarafından tespit edilmez.