Me siento realmente agravado cuando la gente habla de "infectar la red". Típicamente, hay dos temas separados en juego aquí. El hecho de que una computadora comparta una subred con otra no la hace vulnerable (o, al menos, no debería , a excepción de los errores).
La verdadera vulnerabilidad está en las credenciales que tiene la computadora infectada. En las computadoras Windows unidas a un dominio, el servicio de Active Directory que maneja la autenticación y la distribución de credenciales con frecuencia se ejecuta en (y solo funciona) en un segmento de red particular, lo que lleva a la idea errónea de que "la red" no es solo un medio de transmisión. datos, pero una cosa "confiable".
En resumen, busque a qué máquinas tuvo acceso la computadora infectada. Si la computadora infectada era una máquina de Windows unida a un dominio, la máquina infectada y los usuarios conectados a ella podrían haber tenido acceso a otras computadoras en la red, lo que los colocaría en riesgo. Si era una máquina Windows que no estaba unida a un dominio, preocuparse por otras máquinas en la red que usaban el mismo nombre de usuario y contraseña que un usuario en la máquina infectada, o por que la máquina infectada había guardado las credenciales para (ver el Administrador de credenciales en las cuentas registradas).
También vale la pena señalar que la mayoría de ransomware no es tan inteligente. No es típicamente una cosa de auto-propagación, solo una carga útil entregada por algún otro mecanismo de explotación. Realmente no lo ayudaría a cifrar archivos en otras computadoras a menos que también muestre una demanda de rescate, y eso requiere ejecución de código, no solo acceso a archivos. La mayoría del ransomware no tocará la red a menos que tenga una unidad de red asignada, y solo entonces porque confunde a aquellos con las unidades locales.