我们遭受了勒索软件攻击 - 寻求帮助/建议

我最近开始在一家大型国际组织的一家小子公司工作。我的工作是服务台，团队中有 3 名开发人员，我们的老板是经理兼代理系统管理员。员工流动率很高，在过去 18 个月中，有 3 名系统管理员来来去去，所以系统状况并不理想。

我们有 64 个用户，他们有 8-12 个映射驱动器 - 它们在启动时使用由活动目录设置的批处理文件挂载；具体取决于他们所在的组织部分。昨天我接到一个用户的电话，她说她无法打开前一天晚上处理的 Word 文档。当我去调查时，我发现该文件显示的扩展名为 .crypt。然后我意识到这个网络共享上的每个 Word 文档也都加密了，但 .jpg 文件没问题。（经过进一步调查，我发现 .doc、.xls、.pdf、.zip 和 .txt 文件都已加密）我快速检查了员工使用的所有其他网络共享，但在其他任何地方都没有发现勒索软件的踪迹。受影响的网络共享的每个子文件夹中都有一个文本文件，其中包含如何支付赎金的说明。

受影响的一个网络共享位于与 Active Directory 链接的网络设备 NAS 盒上。

从听说其他公司的情况来看，我对这种病毒的理解是，它需要在电脑上模仿，无论是通过电子邮件链接还是从网上下载的东西，并且所有本地和网络驱动器，包括任何可能的 USB 驱动器都应该加密。然而，我们在任何一台电脑上都找不到这种病毒的踪迹，我们也发现奇怪的是其他网络共享都没有被感染。

我们检查了所有 PC 的本地目录，查找 .txt 文件等。一旦发现这些文件可以打开，我们就认为这台机器是干净的，不是引发病毒的机器。我们还搜索了 .crypt 文件。

-我们还能做些什么来找到导致这种情况的 PC 吗？ -我们假设用户通过打开附件或单击 Web 中的链接导致这种情况，这是错误的吗？ -我们假设任何 PC 上都会有痕迹，这是错误的吗？ -其他驱动器怎么没有受到影响？正如我提到的，用户在任何给定时间总是映射多个驱动器。 -还有什么我们应该注意的吗？ -您将如何尝试识别导致这种情况的机器/员工？

抱歉，帖子太长了，我尽量提供详细信息。如果您有任何建议，我将不胜感激。谢谢。