pnmrnckmr

В основном, все решения сводятся к тому, что нужно было сделать до заражения. КМК, сейчас первое, что нужно сделать это вырубить нафиг вообще все компьютеры, по одному включать и определять состояние - заражён или нет, исходя из этого предпринимать дальнейшие действия - дать доступ в сеть или формат Ц. Для определения заражён или нет привлечь спецов из антивирусных лабораторий. Сеть сегментировать по ходу дела (привлекаем спецов), это всё равно нужно делать, т.к., по сути, по такой схеме она будет конфигуриться ну почти с нуля. Естественно, с обязательным снятием образов дисков в текущем состоянии, каким бы оно ни было. Отключать нельзя? Финансовые потери? Ну извините - предыдущая экономия вылезла боком сейчас, это уже просто факт.

Вы используете SMB-протокол, шифровальщик использует его.
Если попробовать завернуть весь трафик SMB на роутер, и там либо блокировать зараженных либо попробовать парсить заголовки зараженных пакетов. (может они выделяются на общем фоне)
мысли в слух

Почитал коменты и можно сказать что все сводится к одному,

после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.

вас ждет настоящая модернизация, болезненная но оправданная. Так как теперь начальство стоит перед фактом что экономить на IT нельзя!

Нужен анализ конкретной версии локера.
Как правило такого рода программы создают временные файлы необходимые для работы, поэтому зачастую можно заблокировать его распостранение созданием этих файлов в режиме рид онли.
Но это прокатит от XP и выше.
На XP накатить патч для SMB

На Win98 боюсь самое адекватное - полное запрещение SMB и перевод файлообмена на другой протокол, например FTP, btsync и прочее подобное.

1)Вынос файловых шар на сервера с современными ОС, жесткая настройка прав, чтобы шифровальщик не мог дотянутся до всех файлов. На серверах теневые копии.
2)Регулярное создание теневых копий на всех машинах от XP и выше. Например раз в час или в два часа.
3)Регулярные бэкапы в формате образа диска- чтобы можно было развернуть полностью работающую ОС

А что с самим парком компов, насколько старые компы сами по себе?
Идея в следующем: берем новый чистый комп, ставим современную ось и на нее виртуалку с Вин98, на которую переносим весь необходимый софт. Сам софт и драйвера можно перед установкой проверить на антивирусах.

Конечно такая сеть - это полный кашмар и что то тут посоветовать сложно. Тут нужен комплексный подход. Рекомендую обратиться к специалистам в одну из антивирусных компаний, а так же компаний специализирующихся на программно-аппаратных файеволах (Fortinet, Check Point Software).

А если брать проблему локально, то нужно смотреть каким крипто-локером заразились, к примеру у того же WannaCry или Petya (Not.Petya) есть стоп-файл, наличие которого в определенных местах останавливает работу крипто-локера. Конечно пробежаться по 6 тыс. ПК практически нереально, но....

2 года пишем софт способный решать подобные проблемы, на рынок не вышли, так как пока используем для внутренних нужд, но это же больница, есть возможность связи?
Емейл для контакта:
ccoropto@inbox.ru