Как добавить в групповую политику правило?

Что значит в сети?
Опишите конкретно, не скачивать, или не открывать с папки %temp% или вообще не открывать из любых папок.

Если по HTTP, можно ловить эти запросы на файеровле или маршрутизаторе. Почтовые клиенты настраиваются отдельно (работа с вложениями).
Windows - можно изменить ассоциацию расширения файла с другой программой.

Антивируник корпоративного уровня может открывать и сканировать архивы из почты, если на них нет пароля и они не разбиты на части.

решение хуже проблемы, блин.
Ключ к реальному решению проблемы упомянут частично в предыдущем ответе : это запрет запуска приложений, запущенных не из "program files", "program files (x86)", "Windows"

Ваш вирус, скорее всего (как и в случае удаленного офиса у меня), это js скрипт в архиве, скачивающий файлы шифровальщика в некую временную папку и не определяемый антивирусом.
(я вот тоже на poweshell скрипты пишу, которые файлы скачивают и, иногда, запускают - не все же детектить такой вполне безобидный функционал). Соответственно, если у пользователя нет прав на запись в windows, program files-ы то и навредить данный вирус не сможет.

Тоже была такая проблема, решил ее тем что развернул на centos squid в связке с sams и через нее уже заблочил zip exe rar для юзеров