Lo primero es desconectarlos de la RED este virus opera en varios frentes uno es moverse por carpetas compartidas con permisos full además usa un diccionario de contraseñas como 123456 etc con estas prueba comprometer alguna cta. por eso se bloquean las cuentas al tercer intento.

Algunas medidas:

-Las ctas. no tengan claves débiles o en blanco como la de administrador de la maquina.

-Que los usuarios no sean administradores de la maquina.

– Que no se permita compartir carpetas en las estaciones y si se hace no dar acceso de escritura.

– Parchar las maquinas con el kb MS08-067

– Si usan un Firewall como proxy activar en este la cache de contenido y en este volumen usar análisis de antivirus.

– Filtro de contenido web solo sitios previamente autorizados.

– Usar una pasarela antivirus y spam en Servidor de correo.

– Desactivar el autorun de dispositivos externos.

– Deshabilitar dispositivos  externos o usar algún software para controlarlos como SANCTUARY

antes de aplicar estas medidas es importante iniciar una campaña de inducción a los usuarios de por que se toman estas medidas y que mitigan. es usuario es nuestro mejor aliado

no se si concuerdan conmigo el hecho que el usuario sea administrador de su estación ya genera varios riesgos.