Тело шифровальщика + вопрос по VPN безопасности

[Metris]

Решил создать одну тему по двум вопросам:

Вопрос №адын. Вчера словили в офисе троян, который зашифровал расшаренные сетевыве папки с помощью lockdir.exe (ID 128596, может кто код знает для расшифровки?)

Сеть из 15 станций на Маздае, на входе стоит Cisco RV042 (c белым статичным IP), которая форвардила (да, уже выключил) порт RDP на сервер 1С (win 2008 r2 x64).
На 9 станциях внутри включен удаленный доступ (используем для подключения через VPN).
Пострадали 5 станций на WinXP + одна на которой не включена возможность удаленного доступа, тоже XP.
Станции с серверной Win 2003 и 2008 не пострадали, хотя там тоже включен удаленный доступ.

По моим подозрениям это могло произойти несколькими способами:
1. Вирус вломился через внешний IP по 3389 порту и осел на сервере 1С, там у него ничего не получилось сделать и он от отчаяния зашифровал расшаренные сетевые папки.
2. Кто-то внутри сети запустил вирус.
3. Кто-то из юзеров подключился с домашнего компа по VPN и тот полез в корпоративную сеть наводить порядки...

Есть ли вероятность, что "тело вируса" все еще дышит и после того, как мы разберемся с уже зашифрованными папками он опять что-то зашифрует? Если да, как его отыскать и обезвредить?

Вопрос №два.
Как обезопасить внутреннюю сеть от нечисти, что водится на компах, которые подключаются по VPN к роутеру? Используем тот же RV042 и QuickVPN (клиент от Cisco).
На клиентах может и вовсе не быть антивирусов и вся грязь будет иметь возможность вломиться в корпоративную сеть.. >_<

[regist]

http://virusinfo.info/showthread.php?t=120806 больше помочь нечем.