Вы используете SMB-протокол, шифровальщик использует его.
Если попробовать завернуть весь трафик SMB на роутер, и там либо блокировать зараженных либо попробовать парсить заголовки зараженных пакетов. (может они выделяются на общем фоне)
мысли в слух
Почитал коменты и можно сказать что все сводится к одному,
после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.
вас ждет настоящая модернизация, болезненная но оправданная. Так как теперь начальство стоит перед фактом что экономить на IT нельзя!