ランサムウェアは、一般的に感染後にCドライブフォルダ内のファイルを暗号化します。
DirectoryMonitorで、監視を行うPCのCドライブ直下に監視用のダミーフォルダを作成し、フォルダ内にWordやExcelのファイルを作成します。
このフォルダを監視元から参照可能な共有フォルダとして、管理者権限を持った監視用のアカウントを作成します。
監視元からこのアカウントを使用して、作成したダミーフォルダをDirectoryMonitorから監視します。
ディレクトリに変更があった場合に、DirectoryMonitorから管理者へメールを送信するアクションを実行、または、ネットワークを遮断するバッチファイルを実行することも可能です。(変更検知後のアクションは、お客様の環境に合わせて作成、設定してください。)