Die Verteidigung gegen "normale" Erpressunsgtrojaner ist simpel: Directory Whitelisting in Kombination mit Application Whitelisting
Das geht auf allen Windows-Versionen und es gibt hierfür Tools wie zum Beispiel Restric'tor:
https://www.heise.de/ct/artikel/Restric-tor-Profi-Schutz-fuer-jedes-Windows-3690890.html
Ist in fünf Minuten gemacht und eigentlich total einfach, gerade mit Restric'tor.
ABER:
Wenn man der Software und der Quelle vetraut, so wie in diesem Fall, dann wird die Verteidung sehr viel schwieriger.
Wie man einem anderen Heise-Artikel entnehmen konnte war "das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen".
Hiergegen hilft nur noch, dass man Anwendungen grundsätzlich gar nicht mehr über Directory Whitelisting erlaubt, sondern konsequent nur noch mit Application Whitelisting wie Hashregeln oder Zertifikatsregeln.
Aber diese Schutzmöglichkeit spendiert Microsoft nur den Windows Enterprise Versionen bzw. Windows Servern ("Applocker"), und es wird leider entsprechend selten eingesetzt.
Das war definitiv ein Angriffsweg gegen den vermutlich mehr als 99% aller Windows-Installationen derzeit nicht geschützt ist.
Die PCs (Windows 7 Ultimate) in meiner Abteilung laufen alle mit Applocker und Anwendungen, die nicht mit bestimmten Zertifikaten signiert sind, können nicht starten.
Ich habe das bis zum heutigen Tag scherzhaft als paranoide Schutzmaßnahme bezeichnet, aber was bei MeDoc (der hier betroffenen Buchhaltungssoftware) funktioniert hatte, kann einem auch mit jeder beliebigen anderen Software passieren.
PS: Das Problem wäre bei Linux im übrigen dasselbe, wobei mir bei Linux keine Schutzmaßnahmen bekannt sind, die Applocker entsprechen.