Fő a nyugalom. A kapkodásnak még rosszabb lesz a vége. Mély levegő...
Mennyire súlyos a helyzet?
Csak a levelezés érintett? Saját levelező szerveretek van? Utána kéne nézni a logokban, hogy milyen domain-ekről/ip címekről próbálnak kézbesíteni ilyen szemétleveleket. Ha sikerül beazonosítani hogy tulajdonképpen néhány IP cím áll az összes mögött, akkor egy drop tűzfalszabályt betenni a levelező szerver elé, el se érjék ezekről a címekről.
Aztán a mailbox-okat kipucolni - attól függ, milyen rendszerű a dolog. Sajnos MS Exchange szerverben nem vagyok jártas...
Ezzel párhuzamosan, azokat a gépeket amelyeken már megjelent a titkosító vírus, elszeparálni, hálózatról azonnal lehúzni. Félre tenni, később bajlódni velük. Ezek az emberek menjenek el szabadságra...
Akinek még vélhetően nincs veszélyben a gépe, az rögtön csináljon mentést! Ha saját gépen vannak dolgok azonnal - vegyetek néhány száz pendrive-ot (feltéve, hogy elfér). Ha domain és roaming folder-es, akkor ott felülbírálni a jogosultságokat, és a domain fájlszerverén ránézni, mi a helyzet a fájlokkal. Ha eldurvul a helyzet, szinkronizációt kikapcsolni.