Você usou o recurso de restauração de arquivos do OneDrive for Business após um ataque de ransomware, mas percebeu que alguns arquivos estão sem as alterações mais recentes feitas antes do ataque. Este é um problema comum quando o ransomware criptografa versões mais recentes de arquivos antes que o histórico de versões do OneDrive as capture. Este artigo explica por que as alterações recentes podem estar ausentes após uma restauração, como verificar o que foi restaurado e como recuperar as versões mais recentes que não foram incluídas na operação de restauração.
Principais conclusões: Recuperando arquivos perdidos pela restauração de arquivos do OneDrive
- Histórico de versões do OneDrive: Armazena até 500 versões principais por arquivo, mas um ataque de ransomware pode corromper a versão mais recente antes que a próxima versão seja salva.
- Intervalo de tempo da restauração de arquivos: Você pode restaurar arquivos para qualquer ponto nos últimos 30 dias, mas apenas as versões que existiam naquele momento exato são recuperadas.
- Verifique a lixeira: Arquivos excluídos ou sobrescritos que não fizeram parte da restauração ainda podem estar na lixeira do site por até 93 dias.
Por que a restauração de arquivos do OneDrive perde alterações recentes após ransomware
A restauração de arquivos do OneDrive for Business funciona revertendo todos os arquivos em seu OneDrive para um ponto específico no tempo nos últimos 30 dias. Quando você aciona uma restauração, o OneDrive substitui o estado atual de cada arquivo pela versão que existia no timestamp selecionado. No entanto, o ransomware geralmente criptografa arquivos em ondas. Se a criptografia ocorreu minutos antes do ponto de restauração que você selecionou, a versão restaurada pode ser o próprio arquivo criptografado, não a versão limpa que você esperava.
Além disso, o histórico de versões do OneDrive salva uma nova versão apenas quando um arquivo é salvo e sincronizado. Se o ransomware criptografou o arquivo localmente e essa versão criptografada foi sincronizada com a nuvem antes que você pudesse agir, a versão limpa mais recente pode estar várias versões atrás. O recurso de restauração de arquivos não tenta encontrar a última versão limpa automaticamente. Ele restaura exatamente o que existia no momento escolhido. Se esse momento ocorrer após o início da criptografia, você obtém o arquivo criptografado.
Outro fator é a janela de restauração de 30 dias. O OneDrive for Business retém o histórico de versões por até 30 dias para arquivos que não são excluídos. Se o ataque de ransomware ocorreu há 28 dias, você só pode restaurar para um ponto dentro dessa janela. Alterações com mais de 30 dias não são recuperáveis apenas pela restauração de arquivos.
Histórico de versões vs. Linha do tempo da restauração de arquivos
O histórico de versões armazena versões individuais de arquivos de forma independente. A restauração de arquivos aplica um único timestamp a todos os arquivos na biblioteca. Isso significa que, se o arquivo A foi salvo pela última vez às 14:00 e o arquivo B às 14:05, e você restaurar para as 14:03, o arquivo A terá sua versão das 14:00, mas o arquivo B estará sem sua versão das 14:05 porque essa versão não existia no ponto de restauração. O processo de restauração de arquivos não mescla versões em diferentes timestamps.
Etapas para recuperar alterações recentes perdidas pela restauração de arquivos
Se a operação de restauração de arquivos não incluiu suas alterações mais recentes, siga estas etapas para localizar e recuperar as versões ausentes.
- Verifique a lixeira do OneDrive
Abra seu OneDrive em um navegador da web. Selecione Lixeira na navegação à esquerda. Procure por arquivos que foram excluídos durante a limpeza do ransomware. Se os arquivos estiverem lá, selecione-os e clique em Restaurar. Os arquivos permanecem na lixeira por 30 dias ou até serem esvaziados. - Veja o histórico de versões de arquivos individuais
Navegue até o arquivo no OneDrive online. Clique com o botão direito no arquivo e selecione Histórico de versões. Procure por versões salvas após o ponto de restauração que você usou. As versões são listadas com timestamps. Selecione uma versão e clique em Restaurar para recuperá-la. Isso funciona mesmo se o arquivo atual estiver criptografado. - Use a lixeira de segundo estágio
Se a lixeira estiver vazia, verifique a Lixeira de segundo estágio. Isso está disponível para administradores do OneDrive for Business. Vá para o centro de administração do SharePoint, encontre o site do OneDrive do usuário e abra Lixeira. Clique em Lixeira de segundo estágio na parte inferior. Os arquivos excluídos da primeira lixeira permanecem aqui por até 93 dias no total. - Realize uma segunda restauração de arquivos para um ponto anterior
Se você suspeitar que o ponto de restauração foi muito tarde, execute a restauração de arquivos novamente. No OneDrive online, clique em Configurações > Restaurar seu OneDrive. Selecione um momento antes do início do ataque de ransomware. Revise a lista de arquivos que serão alterados. Clique em Restaurar. Isso substitui os arquivos atuais por versões do ponto anterior. - Baixe uma versão anterior diretamente
Se o histórico de versões mostrar uma versão limpa, mas você quiser evitar sobrescrever o arquivo atual, abra o histórico de versões, encontre a versão, clique nos três pontos e selecione Baixar. Salve o arquivo localmente com um novo nome. Em seguida, faça o upload para o OneDrive.
Se a restauração de arquivos do OneDrive ainda perder alterações recentes
Arquivos foram salvos localmente, mas nunca sincronizados
Se o usuário trabalhou offline e os arquivos não foram sincronizados antes do ataque de ransomware, o OneDrive não tem versão dessas alterações. Verifique a pasta local do OneDrive em busca de arquivos parcialmente sincronizados. Procure por arquivos com um X vermelho ou um ícone de erro de sincronização. Use a pasta Conflitos de sincronização para encontrar versões salvas localmente. A pasta de conflitos de sincronização geralmente está em C:\Usuários\[nome de usuário]\OneDrive\OneDrive - [nome do locatário]\Conflitos de sincronização.
A restauração de arquivos não inclui pastas compartilhadas
A restauração de arquivos do OneDrive afeta apenas os arquivos no próprio OneDrive do usuário. Arquivos armazenados em pastas compartilhadas ou bibliotecas de documentos do SharePoint não são incluídos. Para esses arquivos, use o histórico de versões da biblioteca de documentos do SharePoint ou o recurso de restauração de arquivos do SharePoint. No SharePoint, vá para a biblioteca de documentos, clique em Configurações > Restaurar esta biblioteca e selecione um ponto no tempo.
O histórico de versões está com entradas ausentes
O OneDrive retém até 500 versões principais por arquivo. Se o arquivo foi salvo mais de 500 vezes nos últimos 30 dias, as versões mais antigas são removidas. Se o ataque de ransomware ocorreu após o 500º salvamento, a versão limpa pode ter sido excluída automaticamente. Nesse caso, verifique com o administrador de TI se as políticas de retenção de backup no Microsoft 365 ou uma ferramenta de backup de terceiros podem recuperar as versões ausentes.
Restauração de arquivos do OneDrive vs. Histórico de versões: Principais diferenças
| Item | Restauração de arquivos | Histórico de versões |
|---|---|---|
| Escopo | Todos os arquivos no OneDrive do usuário | Um único arquivo por vez |
| Seleção de tempo | Qualquer ponto nos últimos 30 dias | Timestamps específicos de versões |
| Número de versões restauradas | Uma versão por arquivo no momento escolhido | Uma versão selecionada manualmente |
| Recuperação de arquivos excluídos | Sim, se excluídos antes do ponto de restauração | Apenas se o arquivo ainda existir na biblioteca |
| Impacto nos arquivos atuais | Substitui todos os arquivos por versões mais antigas | Substitui apenas o arquivo selecionado |
| Disponibilidade para pastas compartilhadas | Não | Sim, se o usuário tiver permissões de edição |
Após um ataque de ransomware, sempre verifique o histórico de versões de arquivos individuais antes de executar uma restauração completa de arquivos. Isso fornece a versão limpa mais recente sem sobrescrever outros arquivos. Para arquivos que não foram incluídos na restauração, use a lixeira e a lixeira de segundo estágio. Se ainda assim não conseguir recuperar as alterações recentes, entre em contato com o administrador do Microsoft 365 para verificar políticas de backup ou soluções de backup de terceiros que possam ter capturado versões fora da janela de 30 dias.