решение хуже проблемы, блин.
Ключ к реальному решению проблемы упомянут частично в предыдущем ответе : это запрет запуска приложений, запущенных не из "program files", "program files (x86)", "Windows"
Ваш вирус, скорее всего (как и в случае удаленного офиса у меня), это js скрипт в архиве, скачивающий файлы шифровальщика в некую временную папку и не определяемый антивирусом.
(я вот тоже на poweshell скрипты пишу, которые файлы скачивают и, иногда, запускают - не все же детектить такой вполне безобидный функционал). Соответственно, если у пользователя нет прав на запись в windows, program files-ы то и навредить данный вирус не сможет.
