Den risken är inte så stor då att stänga och rensa återställningen samt stänga av och radera alla shadow-copy/snapshot är bland det första som görs - också att skriva över all ledig diskutrymme med slump och alla filer som tas bort skrivs över först med slump innan de tasbort och ersätts med sin krypterade version - syftet är ju att offret inte med några som helst metoder skall kunna rädda sig och hämta ut data med diskräddningsprogram eller på annan sätt gräva fram data.
Finns minsta risk att infektionen är kvar så använder man inte windows alls utan tex. en ubuntu startad på en USB-sticka eller hellre på optomedia (kan inte smittas när det väl är bränt) och man tar undan sina kvarvarande viktiga filer.
Som sagt - man behöver inte vara speciellt aktiv med surfning etc. för att ändå bli drabbat, har hacket gått via RDP eller liknande så kanske problemet är för korta och enkla passord och att man inte spärrat användningen av lanmanager och NTLMv1, spärra/lås alla (default) passord och konton som ingen ändå håller reda på etc.
Men det är klart - har man städat runt i filer, ziparkiv mm. som är runt 1 år gammalt så kan man råkat på att aktivera något gammat i virusväg - eller så har man fått in en ny, vassare version
det är sådana tillfällen man behöver köpa en bunt USB-diskar till (och kopiering görs endast i linux - inte i potentiellt angripna windows - aldrig att jobba på orginal utan att samtidigt säkrat sig minst 1 kopia på annan media)