病毒所在的资料夹产生下列档案
http://imgur.com/a/fjscM
档名tasksche.exe是本体
(还有另一版本名称为mssecsvc.exe)
登录档被加了这个开机自动加载执行档
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
加载名称 tasksche.exe (或是mssecsvc.exe)
可以搜寻名称tasksche.exe找到它的资料夹
所有资料夹会被多增加一个 @WanaDecryptor@.exe 的捷径档案
右键查看内容也可以找到本体资料夹
(我的样本资料夹不是骇客原设定位置，
有找到位置的话，请推文提供一下资料夹位置)
病毒不会自行了断删除
重新开机会自动加载病毒
可能会继续加密档案
最后 中毒不用拔硬盘去别台电脑捞资料
进入安全模式即可安全的备份档案

想请问一下，我今晚也中此毒了，当时有上传影像档到云端硬盘，需要把整个云端硬盘档案都砍掉吗 ?

推 谢谢分析 我还呆呆的开机1小时~"~

如果你云端的档案不是从一个资料夹自动上传上去的，应该不会有事

云端可以还原 而且也不可能在云端上被加密才对

还好我云端硬盘都不开同步的QQ

想请问一下 如果因为档案类型而不在被加密范围的档案 可以用随身碟移出吗 会不会害健康的电脑也中毒?一样需要在安全模式下操作吗?昨天傻傻没开安全模式就把他们copy出来了