Dort werden keine Flags verbogen, sondern du hast Prozesse laufen, die das Verhalten auslösen
Rechner platt machen und neu aufsetzen.
Sicherlich hast du ja für den Fall ein Backupsystem, welche man dann einsetzt....

Des Weiteren wäre zu klären, wie das System infiziert werden konnte

Vielen Dank Christian. Der Übeltäter war Acronis. Dieses war der Meinung, 4 EXE-Dateien auf der Platte wären Ransomware und hat sie kurzerhand ohne Nachfrage gesperrt. Das finde ich unerhört! Wir mussten fast 50 Patienten am Do wegschicken, weil sich im Praxisprogramm nichts bewegte. Natürlich haben wir die betroffenen Dateien dann einer eingehenden Tiefenprüfung unterzogen (online und offline). Nichts von Ramson zu sehen. Soviel Überheblichkeit von Acronis, eine liederliche Erkennungsroutine loszulassen und dabei ganze Produktionszweige lahmzulegen, ist nicht zu übertreffen! Das Ding gehört in die Tonne!

Das mag sein, jedoch arbeiten die teilweise mit einer heuristischen Analyse. Das kann mal in die Hose gehen. Und auch kann es vorkommen, dass Dateien Fehlalarm auslösen. Betrifft wohl jedes Virenprogramm. Und Acronis ist meines eher auf Systemwiederherstellung spezialisiert,als auf Virensuche.

Des Weiteren muss es ja wohl eine Änderung der 4 EXEn zu den im Acronis Backup gegeben haben. Sonst wäre die Dateien nach dem Recovery gleich wieder gesperrt worden.

Nein, dass musst du dir zurechnen lassen. Man kann erwarten, bei einem System wie du es betreibst, dass dort mal über Backup, Sicherungen, Notfallsystem nachgedacht wird. Ist ja dann jetzt wohl ein Anlass das zu tun

Ich kenne Acronis als Backup / Recovery Programm. Bin überrascht, dass es sowas "kann". Irgendwann fand ich es nicht mehr überzeugend.
An dieser Stelle wäre die Frage, welche Eingriffsmöglichkeiten es bietet bei diesen Eingriffen und ob sichergestellt ist, dass alle Optionen berücksichtigt wurden in der Behebung des Problems. Es ist vielleicht wie an vielen Stellen unter Windows. Eine Automatik "erledigt" Dinge schnell und bequem, entwickelt sich aber zum Showstopper, wenn die Automatik falsch läuft. Sowas muss man überschreiben können. Das gilt für jedes Programm, besonders wenn es heuristisch arbeitet.

Letztlich ist die Anklage gegen das Programm dennoch überzogen. Im professionellen Einsatz muss man auf eine Reihe von Szenarien eingestellt sein. Es ist ganz simpel erstmal eine Kostenfrage und dann vielleicht auch eine der Reputation, wieviel Geld / Arbeit man in die Testung von Arbeitsfähigkeit und Absicherungsmaßnahmen steckt.

Letztlich weiß ich, dass vergleichbares auch größeren Anbietern von Arztsoftware passiert. Dabei ist es immer eine Gradwanderung zwischen Systemabsicherung und Benutzerkomfort. Fahrlässigkeit oder grobe Fahrlässigkeit sind auch eine Möglichkeit.

Einfallstor
Ich empfehle Sciptblocker mit gezielten Ausnahmen für den Webbrowser und restriktive Maßnahmen für den Umgang mit ausführbaren Dateien aus Emails.

Man kann die "Protection" abschalten...Icon im Tray
Eine Whitelist kann man wohl nicht pflegen

Ging mir genauso. Hab nicht geahnt, dass Acronis mitten in der Arbeit im Hintergrund plötzlich irgendwelche Dateien sperrt. Ein Hinweisfenster hätte ich zumindest erwartet. Protection abschalten ist kein Thema, wenn man auf die "harte" Tour damit konfrontiert wird ...

Na komm, genau das plötzliche Sperren würde man doch erwarten, wenn es sich um eine treffende Bedrohungsanalyse gehandelt hätte. Vielleicht würde man sich dann sogar später die Stirn abtupfen und sagen "Der Hinweis ist mir egal, Hauptsache der Virus ist an mir vorüber gegangen".
Ok, der letzte Teil ist eher unwahrscheinlich. Ein Hinweis ist erwartbar. Mir fehlt auch die Fantasie, solche Designentscheidungen nachvollziehen zu können, aber die plötzliche Sperre, da kommt man nicht dran vorbei, wenn der Mechanismus Sinn machen soll.