[dislike]

Во-первых, откуда бы шифровальщику взяться на сервере? Вы же не используете его для ползанья в интернете и не даете совать флешки неизвестного происхождения глупым пользователям?
Во-вторых, как мне кажется, достаточно запретить пользователям не из группы Администраторров запись/удаление в защищаемые директории через права NTFS, чтобы шифровальщик, запущенный пользователем обломал об эти настройки зубы. Ну а чтобы шифровальщик не оказался запущен от имени администратора - должен заботиться сам Администратор, это не так уж сложно.