La risposta breve è "È possibile".
È importante capire le circostanze in cui ciò è possibile:
1: se le unità di rete condivise esistono su un server vulnerabile e il server stesso è infetto
2: se il contesto utente in cui è in esecuzione l'infezione ha una connessione stabilita con una risorsa di rete, viene autenticato al momento dell'infezione e autorizzato a modificarlo. Ad esempio, un cryptomalware eseguito nel contesto di "SYSTEM" - senza sfruttare una vulnerabilità - non dovrebbe essere in grado di apportare modifiche a una condivisione di rete che richiede l'autenticazione, a condizione che un altro utente con permessi di scrittura non sia già autenticato attivamente.
3: Se i file condivisi sono mal implementati. Ad esempio, un metodo molto antefatto e pericoloso che ho visto in uso diffuso è il lancio di uno script nella cartella di avvio di un computer che si connette e autentica a una condivisione di file. In linea di massima, in Windows (e principalmente altrove), le attività automatiche dovrebbero essere eseguite solo nel contesto di una sessione autenticata e non dovrebbero mai essere avviate da uno script che contiene credenziali hardcoded
Una buona regola empirica da considerare quando si pensa al cryptomalware o veramente a qualsiasi malware: se una determinata macchina o sessione sta indicizzando i file per una ricerca rapida su una risorsa, esiste almeno un rischio di divulgazione o distruzione da parte di una minaccia funziona su quella macchina o sessione.