Quando o ransomware criptografa ou renomeia seus arquivos, a restauração de arquivos do OneDrive for Business deve reverter para uma versão limpa. Mas às vezes a restauração aplica uma versão que ainda contém dados criptografados ou perde alterações legítimas recentes. Isso acontece porque o ponto de restauração selecionado pode incluir arquivos que já estavam comprometidos antes do ataque ou porque o intervalo de restauração não cobre a janela de tempo correta. Este guia explica por que a versão errada é restaurada e fornece correções passo a passo para recuperar os arquivos corretos.
Principais Conclusões: Restaure os Arquivos Corretos do OneDrive Após Ransomware
- OneDrive web > Configurações > Restaurar seu OneDrive: Use o registro de atividades para selecionar um ponto de restauração anterior à criptografia do ransomware, não a primeira versão limpa que você vê.
- Verifique o histórico de versões do arquivo: Clique com o botão direito em um arquivo no OneDrive web e selecione Histórico de versões para confirmar se a versão anterior à criptografia existe antes de executar uma restauração em massa.
- Use o backup da Pasta de Movimentação Conhecida: Se as pastas Área de Trabalho, Documentos e Imagens forem redirecionadas para o OneDrive, restaure essas pastas separadamente da biblioteca principal do OneDrive para evitar misturar versões.
Por que o OneDrive Restaura a Versão Errada Após Ransomware
A restauração de arquivos do OneDrive for Business funciona examinando seu registro de atividades e apresentando uma linha do tempo das alterações nos arquivos. Quando você escolhe um ponto de restauração, o OneDrive reverte cada arquivo em sua biblioteca para o estado em que estava naquele momento específico. O problema é que o ransomware geralmente criptografa arquivos em ondas, e edições legítimas de arquivos podem ter ocorrido entre o início do ataque e o momento em que você o percebe. Se você selecionar um ponto de restauração muito cedo, perde alterações legítimas. Se selecionar um muito tarde, alguns arquivos ainda podem estar criptografados.
Outra causa é que a restauração de arquivos do OneDrive funciona em toda a biblioteca, não em arquivos individuais. Se o ransomware afetou apenas um subconjunto de arquivos, a restauração ainda retrocede todos os arquivos no seu OneDrive. Isso pode reintroduzir versões antigas de arquivos que foram intencionalmente atualizados após o ponto de restauração. Além disso, o histórico de versões do OneDrive mantém até 500 versões principais por arquivo. Se um arquivo foi editado centenas de vezes, a versão anterior à criptografia pode estar enterrada no fundo da lista e não aparecer na linha do tempo de restauração padrão.
O Papel dos Padrões de Criptografia do Ransomware
O ransomware nem sempre criptografa todos os arquivos de uma vez. Algumas variantes criptografam arquivos um por um ao longo de várias horas. Isso significa que, em qualquer ponto de restauração, alguns arquivos ainda estão limpos enquanto outros já estão criptografados. A restauração de arquivos do OneDrive trata todos os arquivos no mesmo timestamp, então um único ponto de restauração não pode corrigir um ataque escalonado. Você deve identificar o momento exato em que cada arquivo estava limpo pela última vez, o que a ferramenta de restauração padrão não faz.
Passos para Identificar e Restaurar a Versão Correta
Siga estes passos para recuperar os arquivos corretos após um ataque de ransomware. Não execute uma restauração em massa até confirmar que o ponto de restauração inclui versões limpas de seus arquivos críticos.
- Verifique o registro de atividades do OneDrive para o horário de início do ataque
Faça login no OneDrive web em onedrive.live.com. Clique no ícone de engrenagem Configurações e selecione Restaurar seu OneDrive. O registro de atividades mostra as alterações nos arquivos em ordem cronológica reversa. Procure um padrão de arquivos sendo renomeados ou tendo seu conteúdo substituído. Anote o timestamp da primeira atividade suspeita. Este é o horário para o qual você deve restaurar ou antes dele. - Verifique o histórico de versões de um arquivo crítico
Clique com o botão direito em um arquivo que você sabe que foi criptografado. Selecione Histórico de versões. Revise a lista de versões salvas. Cada versão mostra um timestamp e o usuário que a salvou. Encontre a última versão que foi salva antes do horário de início do ataque anotado no passo 1. Se essa versão estiver limpa, o ponto de restauração é válido. Caso contrário, você precisa de um ponto de restauração anterior. - Selecione um ponto de restauração anterior a toda criptografia
Volte para Restaurar seu OneDrive. A linha do tempo mostra pontos de restauração sugeridos com base em atividades suspeitas. Clique em Data e hora personalizadas e insira uma data e hora que seja pelo menos uma hora antes da primeira atividade suspeita identificada. Não use os pontos sugeridos a menos que os tenha verificado com o histórico de versões. - Visualize o impacto da restauração antes de aplicar
A restauração de arquivos do OneDrive mostra uma prévia de quantos arquivos serão alterados e quantos serão restaurados. Revise a lista de arquivos afetados. Se você vir arquivos que não deveriam ser alterados, cancele a restauração e escolha uma data diferente. Se a prévia mostrar apenas os arquivos esperados, clique em Restaurar. - Restaure arquivos individuais se a restauração em massa falhar
Se a restauração em massa ainda retornar versões erradas, restaure os arquivos um por um usando o histórico de versões. Clique com o botão direito em cada arquivo criptografado, selecione Histórico de versões, encontre a versão limpa e clique em Restaurar. Este método é mais lento, mas garante a versão correta para cada arquivo.
Se a Restauração de Arquivos do OneDrive Ainda Retornar a Versão Errada
Mesmo após seguir os passos acima, você pode encontrar padrões de falha específicos. Cada um tem uma causa e correção diferentes.
O ponto de restauração mostra zero arquivos para recuperar
Isso acontece quando o ponto de restauração selecionado é posterior à criptografia dos arquivos pelo ransomware. O OneDrive vê a versão criptografada como a versão atual e não encontra nada para restaurar. Volte ao passo 3 e escolha uma data pelo menos duas horas antes do ataque. Se o registro de atividades não retroceder o suficiente, entre em contato com seu administrador do Microsoft 365 para estender a retenção do histórico de versões além dos 30 dias padrão.
Arquivos restaurados ainda estão criptografados ou corrompidos
O ponto de restauração selecionado estava durante a janela de criptografia. Alguns arquivos já estavam criptografados quando o ponto de restauração foi criado. Use o histórico de versões para restaurar esses arquivos específicos individualmente. Para evitar isso no futuro, crie um ponto de restauração manual imediatamente após detectar ransomware usando a ferramenta Restaurar seu OneDrive e selecionando o horário atual como ponto de restauração. Isso fornece uma linha de base limpa conhecida.
A restauração de arquivos do OneDrive reverte arquivos que não foram afetados pelo ransomware
Isso é por design. A restauração de arquivos do OneDrive retrocede toda a biblioteca para o timestamp selecionado. Arquivos que foram editados após o ponto de restauração perderão essas alterações. Para evitar isso, mova os arquivos não afetados para uma pasta diferente ou outra biblioteca do OneDrive antes de executar a restauração. Após a restauração, copie-os de volta. Alternativamente, use o histórico de versões para restaurar apenas os arquivos afetados.
Métodos de Restauração de Arquivos: Em Massa vs. Histórico de Versões Individual
| Item | Restauração em Massa | Histórico de Versões Individual |
|---|---|---|
| Escopo | Todos os arquivos na biblioteca do OneDrive | Um arquivo por vez |
| Velocidade | Rápida para bibliotecas grandes | Lenta para muitos arquivos |
| Precisão da versão | Restaura todos os arquivos para o mesmo timestamp | Você escolhe a versão exata por arquivo |
| Risco de perda de dados | Pode reverter alterações legítimas feitas após o ponto de restauração | Nenhum risco para outros arquivos |
| Melhor caso de uso | Ransomware que criptografou todos os arquivos de uma vez | Criptografia escalonada ou apenas alguns arquivos afetados |
Agora você pode identificar o ponto de restauração correto e recuperar arquivos após um ataque de ransomware sem perder alterações legítimas. Após restaurar, verifique cada arquivo crítico abrindo-o em seu aplicativo nativo. Para evitar perda de dados futura, ative o OneDrive Files On-Demand e defina a retenção do histórico de versões para pelo menos 60 dias no centro de administração do Microsoft 365. Uma dica prática: crie uma pasta de teste com arquivos fictícios e execute uma restauração de teste imediatamente após configurar a retenção para confirmar que o processo de restauração funciona conforme o esperado.