病毒所在的資料夾產生下列檔案
http://imgur.com/a/fjscM
檔名tasksche.exe是本體
(還有另一版本名稱為mssecsvc.exe)
登錄檔被加了這個開機自動載入執行檔
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
載入名稱 tasksche.exe (或是mssecsvc.exe)
可以搜尋名稱tasksche.exe找到它的資料夾
所有資料夾會被多增加一個 @WanaDecryptor@.exe 的捷徑檔案
右鍵查看內容也可以找到本體資料夾
(我的樣本資料夾不是駭客原設定位置，
有找到位置的話，請推文提供一下資料夾位置)
病毒不會自行了斷刪除
重新開機會自動載入病毒
可能會繼續加密檔案
最後 中毒不用拔硬碟去別台電腦撈資料
進入安全模式即可安全的備份檔案

想請問一下，我今晚也中此毒了，當時有上傳影像檔到雲端硬碟，需要把整個雲端硬碟檔案都砍掉嗎 ?

推 謝謝分析 我還呆呆的開機1小時~"~

如果你雲端的檔案不是從一個資料夾自動上傳上去的，應該不會有事

雲端可以還原 而且也不可能在雲端上被加密才對

還好我雲端硬碟都不開同步的QQ

想請問一下 如果因為檔案類型而不在被加密範圍的檔案 可以用隨身碟移出嗎 會不會害健康的電腦也中毒?一樣需要在安全模式下操作嗎?昨天傻傻沒開安全模式就把他們copy出來了