Quando esegui un file eseguibile, che sia su Linux, Mac o Windows, il sistema operativo crea un processo che eseguirà le istruzioni contenute in quel file. Non ha importanza la cartella da cui viene lanciato, una volta caricato in memoria l'unico limite è quello dei privilegi, ma l'utente normale (medium integrity su windows) è sufficiente per leggere e scrivere sia sulla pendrive che in molte cartelle dell'hard disk, quindi è normale che dalla USB possa agire sul resto, non c'è alcun isolamento, semplicisticamente una volta che lo apri può fare le stesse cose che fai tu che sei davanti al pc.
In quel thread che hai linkato sono stato chiaro, TUTTI i ransomware usano un cipher simmetrico (AES, ChaCha20, Serpent...), e quasi tutti usano anche un cipher asimmetrico (RSA, ECDH...). Quelli simmetrici sono obbligatori perché è l'unico modo per cifrare GB di dati di un harddisk in tempi ragionevoli. Quelli asimmetrici di solito vengono usati solo per cifrare la chiave del cipher simmetrico.
In quel thread che hai linkato sono stato chiaro, TUTTI i ransomware usano un cipher simmetrico (AES, ChaCha20, Serpent...), e quasi tutti usano anche un cipher asimmetrico (RSA, ECDH...). Quelli simmetrici sono obbligatori perché è l'unico modo per cifrare GB di dati di un harddisk in tempi ragionevoli. Quelli asimmetrici di solito vengono usati solo per cifrare la chiave del cipher simmetrico.