Por que você não cria uma tela de arquivo que bloqueia arquivos criptografados para o Ransom-ware mais comum? Em seguida, execute um script Powershell que notifique você sobre tentativas de gravar esses tipos de arquivo. Você pode adicionar alguns recursos para desativar a conta do AD até investigar mais.
Listar para bloquear o link
Script link
Crytoblocker GITHUB link
Como: link