Решена - Вирус шифровальщик BadRabbit - методы защиты.

В сети появилась новая (модифицированная) разновидность вируса шифровальщика WannaCry\Petya - под кодовым названием Bad Rabbit (Плохой Кролик).

Заражение как правило происходило после того, как люди заходили на заведомо взломанные официальные сайты в сети интернет. Человек получал окошко с предложением обновить FlashPlayer.
В случае соглашения на обновление, после нажатия по окну происходила загрузка и запуск зловредного вредоносного файла с именем install_flash_player.exe (MD5 хеш (FBBDC39AF1139AEBBA4DA004475E8839), а также происходило заражение самого хоста.
По предварительным данным, шифрование производится с помощью DiskCryptor.
После заражения вредоносное ПО повышало привилегии на вашем компьютере.
Распространение по сети происходило через SMB — путем извлечения паролей из LSASS (Mimikatz) скомпрометированного компьютера, либо методом подбора по встроенному словарю.

Mimikatz - программа, которая перехватывает на зараженном компьютере логины и пароли.

Экстренные меры, которые нужно предпринять в случае заражения:

Необходимо создать файл в директории C:\windows\infpub.dat и задать файлу права «только для чтения». После этого даже в случае заражения файлы не будут зашифрованы!

Как предотвратить заражение вирусом шифровальщиком Bad Rabbit:

1) Для устранения основных уязвимостей, которые эксплуатируются шифровальщиками, необходимо в первую очередь установить следующие обновления безопасности:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx (заплатки от WannaCry,Petya)
https://technet.microsoft.com/library/security/2871997 (для защиты от перехвата паролей в памяти сервера)
2) Запретить любые соединения до IP-адресов и доменных имен источников заражения.
3) Запретить удаленный вход в систему (RDP, SMB, RPC) локальным администраторам.
Желательно оставить только тип входа 2 (интерактивный): https://technet.microsoft.com/ru-ru/library/cc787567(v=ws.10).aspx
4) Добавить в реестр на все ваши компьютеры под управлением ОС от Windows 7 до 2008R2 следующий параметр:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/WDiges t/UseLogonCredential=0.
Данный параметр запрещает хранение паролей в оперативной памяти в открытом виде (используется вредоносным ПО Mimikatz)
5) Настройте в браузерах блокировку всплывающих окон.