>『感染がさらに拡大する恐れがあるので、カルテのバックアップを保存しているサーバーも起動できない…。

うん？

→クライアント端末全てシャットダウン&電源ケーブル含めケーブル類全て抜いて物理的に完全に切断。
→感染したサーバーは撤去。
→クライアント端末は“個々に”クリーニング&BIOSリセット。
→クライアント端末のメモリーを新品に交換。
→外付記憶媒体は使用禁止しているだろうけど有れば全て廃棄処分。
→新たなサーバーをデモソフトで起動。
→テストクライアントのみ新サーバーと接続し通信状況チェック。
→セキュリティーチェック後、テストクライアントとの接続を物理的に切断。
→新サーバーへバックアップをアップデート。
→新サーバーのセキュリティーチェック。
→新たなテストクライアント端末のみ接続。
→通信状況とセキュリティーチェック。
→部署別に順次クライアント端末を起動させサーバーとの通信状況とセキュリティーチェック。
→本稼働。
ザックリいうとこんな感じで3ヶ月かな〜と思ふけど。

但し、LockBit3.0だった場合。

サイバー攻撃を受けた時期にバックアップがオンライン状態であったならプランは破綻し詰んでいると思う。

サイバー攻撃から１週間　復旧のめど立たず