Ultima Online Antares

Работая системным администратором с функциями от эникейщика до властелина вселенной (заправка картриджей, сборка разборка и ремонт сислемников и ноутбуков, системы видеонаблюдения, кондиционирования, скуд, пожарка, автомобильные GPS и бортовые компутеры, фены и кофеварки, утюги, пылесосы, сотовые телефоны и промышленные станки, в общем все где есть и нет операционные системы или работает от электричества) более 15 лет почему то только в последний год пару раз столкнулся с вирусами шифровальщиками. Читал, слышал но ловить не приходилось хотя и организации были на овер 1К человек, и компы самые разные и сколько раз приносили на починить - ни разу не встречал в живую.
На последнем месте работы один из руководителей год назад примерно в это же время - посленовогодниепраздники - позвонил и сказал что не может открыть какое то очень важное письмо. Когда сел за комп руководителя (далее в тексте Р.) и просмотрел почту обратил внимание что письмо имеет вложение с расширением .vbs но со значком экселя и сложным названием что то навроде "Договор на очень очень Важное Событие связанное с Огромными Прибылями и Штрафами в случае не заполнения этого Документа!!!!одинодинодин." Поскольку на компе стоял лицензионный антифирус, на венде включена был контроль пользователей и Р. работал под пользователем я не стал откладывать кладку кирпичей а переслал письмо на свой рабочий адрес что бы поковырять его на виртуалке. Ничего не предвещало тогда беды...
Через где то час-два Р. позвонил мне и сообщил что антивирус написал что поймал какого то зверька. Я сказал что сейчас подойду, погляжу. Когда сел за комп первое что бросилось в глаза - вместо обычной для таких должностей фото с близкими/детьми/собой/Президентом с рабочего стола уступило место черненьким готическим обоям. Хм... Ну мало ли. Документы рабочего стола (сколько раз просил не устраивать свалку :( ) побелели но иногда такое бывало - винда могла сбойнуть да и даже если самый страшный вирус свалит винду все можно развернуть из образа диска а 99% доков лежит на диске D:\ Ведь правда? (сука...). Тем более антивирус среагировал на заразу и как минимум поместил её в карантин либо грохнул совсем (сука^2...). В общем через полчаса (Р. стоял над душой и работал я достаточно быстро но шебутно) я начал понимать что "Ой чёто не то" и все как то не так. А еще через полчаса погуглив инфу то все это значит понял размеры армагедца. В общем утащив комп себе в кабинет и прозанимавшись с ним любовью в течении 3 дней пришлось все под ноль удалять. Слава богу буквально за полтора месяца была плановая модернизация компов руководства и старый хард остался в загашнике со локальными доками. Откатились на месяц в прошлое, Р. поворчал но я объяснил ЧТО это было и почему наш платный антивирусник среагировал когда полярная лица уже наступила нам на кокохи. Настроил руководителям подразделений у кого не было бэкапы всех файлов doc* xls* pdf с периодическим скидыванием на FTP файлопомойку. Провел со всеми индивидуальную беседу что если что писец будет не только мне но и вашим документам и вам в принципе тоже.
Прошел год. Р. позвонил снова и очень вежливо попросил подойти к нему на рабочее место потому что что то не так... В этот раз вирус давинчи не только запаролил документы оставляя иллюзию потенциальной расшифровки. Он еще документы вида "Отчет для гендиректора.docx" превратил в LKJSLkjlk43jlksjf87.lkjlk4l что в принципе чуть чуть усложняет задачу %) В общем потеряли еще пару недель - с оттяжекой. Сработка вируса была в нерабочее время окурат перед обновлением антивирусной базы. Всего скорее была бомба заложена. Сейчас копаюсь в почте Р. ищу что же он там читал и какая чмырина ему все это шлет. С его слов посторонней корреспонденции не было. Видимо кто то из партнеров заболел и чихнул в интернет.

В общем к чему это все я понарасписал. Можно конечно согнать всех на линуксовые платформы. Можно глобально запретить использовать любые скрипты и макроссы несмотря на то что ГОСУДАРСТВЕННЫЕ конторы уровня налоговых пенсионок и прочих пожарных инспекций ТРЕБУЮТ что бы мы периодически заполняли для них документики с красивыми кнопычками которые они научились делать видимо на бесплатных курсах по экселям. МОНужно делать бэкапы (правда есть шанс что бомбочка затечет на файлопомойку и крашнет там все и свое и чужое)...
Остается два главных вопроса - как вбить в голову юзеру понятие ОПАСНОНЕВЛЕЗАЙ если я бы сам в 3/10 случае тыкнул бы в док чисто посматреть, а главное стоить ли городить огород из ядовитых кольев если проще все нафиг удалить и развернуть из бэкапа? Сразу напишу данные уходят с компьютера по важности являяющимся вторым в организации после банковского хотя смертельно опасного конечно для юрлица там ничего нет но приятного мало.
Как я понимаю какого то готового решения по защите от шифровальщика в просторах интернетов нет, может кто из личного чего посоветует?

ЗЫ сеть одноранговая, на входе стоит линуксовый фаервол+антивирь, почта на делигированном домене в яндексе, у Р. обитает Windows7, NOD32SS. Периодически представляю какой был бы писец если бы я не поотрубал всем файловый+терминальным доступ до главного сервера 1С с файлохранилищем, разтащив их на две отдельные машины как только устроился на работу.