Cryptolocker / Cryptowall GPO / SPO

Você pode usar as Políticas de Restrição de Software para impedir que executáveis sejam executados quando estiverem localizados na pasta %AppData% ou em qualquer outra pasta.

Os caminhos de arquivo da infecção são:
C:\Users\User\AppData\Roaming\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe (Vista / 7/8) C:\Documents and Settings\User\Application Data\{213D7F33-4942-1C20-3D56=8-1A0B31CDFFF3}.exe

Portanto, a regra de caminho que você deseja basicamente configurar é uma nova política de configuração do Windows:

Path: %AppData%\*.exe
Security Level: Disallowed
Description: Don't allow executables from AppData.

Fonte: link

O download acima contém os GPOs para Win7 / 8 e XP.

Gostaria de responder à Resposta 1 em relação à Política de configuração do Windows, mas adicione uma recomendação de que você teste isso agressivamente para todos os seus grupos de usuários antes de implantá-la em um ambiente muito difundido. Minha organização usou essa mesma configuração de política, mas logo descobrimos que ela bloqueou atualizações e instalações de nosso próprio software de emissão de bilhetes de TI. Como tal, tivemos que criar exceções como:

Path: %LocalAppData%\[path to installer]\[name of installer].exe
Security Level: Unrestricted.

Como se sabe, vários softwares válidos e mal-escritos fazem uso extensivo da pasta %AppData , portanto testes pesados podem ser necessários para evitar uma grande dor de cabeça com seus usuários.

Você também precisa se proteger contra o lançamento de exes em arquivos zip e outros arquivadores populares. esse caminho vai pegar quase tudo

%LocalAppData%\*\*.exe
%LocalAppData%\*.exe
%temp%\*\*.exe
%temp%\*.exe
%Userprofile%\*.exe

Mas lembre-se, estes não são recursivos. exemplo:% temp% \ aaa \ aaa * .exe ainda seria executado.

Outra abordagem seria bloquear tudo e desbloquear o que é permitido apenas.

aqui estão alguns bons recursos de ponto de partida:

link

link