Ao restaurar um site do OneDrive após um ataque de ransomware, você pode descobrir que os arquivos restaurados pelo recurso padrão de restauração de arquivos não incluem alterações feitas nos últimos 30 minutos. Essa lacuna pode deixar dados críticos irrecuperáveis. A causa é a latência de restauração na indexação do histórico de versões do OneDrive e a forma como a operação de restauração seleciona os pontos de restauração. Este artigo explica por que a lacuna ocorre, fornece um checklist passo a passo para administradores fecharem essa lacuna e descreve padrões de falha relacionados que você deve verificar após qualquer recuperação de ransomware.
Principais Conclusões: Checklist da Lacuna de Restauração de Arquivos do OneDrive para Ransomware
- Centro de administração do OneDrive > Restaurar OneDrive: Restaura arquivos com base nos últimos 30 dias de histórico de versões, mas exclui alterações feitas na janela final de 30 minutos antes do ponto de restauração selecionado.
- SharePoint Online Management Shell > Get-PnPFilesInFolder: Use este cmdlet para comparar o conteúdo da pasta restaurada com o histórico de versões real e identificar arquivos que não mostram ação de restauração.
- Microsoft 365 Defender > Resposta a incidentes > Ações de arquivo: Use a restauração manual do histórico de versões para arquivos individuais que a restauração em massa não cobriu, especialmente aqueles modificados nos últimos 30 minutos antes da restauração.
Por que a Restauração de Arquivos do OneDrive Perde Alterações Recentes
O recurso de restauração de arquivos do OneDrive funciona revertendo todos os arquivos de um site para um ponto no tempo escolhido nos últimos 30 dias. O sistema usa instantâneos do histórico de versões criados a cada poucos minutos. No entanto, o instantâneo final é capturado apenas quando você inicia a operação de restauração. Qualquer alteração ocorrida entre esse instantâneo final e o ponto de restauração real selecionado não é capturada. Essa latência pode chegar a 30 minutos.
A operação de restauração também não inclui arquivos que foram excluídos e depois removidos permanentemente (lixeira de segundo estágio) antes do ponto de restauração. Se um ataque de ransomware excluiu arquivos e a política de retenção já os removeu, esses arquivos desaparecem mesmo após uma restauração.
Outra causa raiz é que o recurso de restauração opera no nível do site, não no nível do arquivo individual. Ele substitui todo o conteúdo do site pela versão do ponto de restauração. Qualquer arquivo criado ou modificado após esse ponto de restauração é perdido, a menos que você o recupere manualmente do histórico de versões.
Checklist do Administrador: Fechando a Lacuna de 30 Minutos na Restauração
Use este checklist imediatamente após uma recuperação de ransomware para identificar e restaurar arquivos que a restauração em massa não cobriu.
- Verifique o horário do ponto de restauração
Acesse o centro de administração do OneDrive, selecione o usuário afetado e clique em Restaurar OneDrive. Anote a data e hora exatas do ponto de restauração selecionado. Esse horário é o limite. Qualquer alteração de arquivo após esse horário não foi incluída na restauração. - Execute uma auditoria do histórico de versões com PowerShell
Abra o SharePoint Online Management Shell e conecte-se ao seu locatário. ExecuteGet-PnPFilesInFolder -FolderSiteRelativeUrl "Documents" -WebUrl "https://seulocatario.sharepoint.com/sites/usuario"para listar todos os arquivos. Em seguida, compare as versões dos arquivos com o horário do ponto de restauração. Arquivos com carimbo de data/hora de versão posterior ao ponto de restauração e sem entrada de histórico de versões anterior são os arquivos perdidos. - Verifique a lixeira de segundo estágio
No OneDrive do usuário, vá para Lixeira e depois Lixeira de segundo estágio. Arquivos que foram excluídos antes do ponto de restauração e removidos permanentemente pela política de retenção não aparecerão. Se ainda estiverem na lixeira de segundo estágio, restaure-os manualmente. - Restaure arquivos perdidos do histórico de versões
Para cada arquivo identificado na etapa 2, abra o arquivo no navegador, clique no nome do arquivo, selecione Histórico de versões e escolha a versão que corresponde ao horário do ponto de restauração. Clique em Restaurar para trazer essa versão de volta. - Habilite a política de retenção do histórico de versões
No centro de administração do SharePoint, vá para Políticas > Controle de acesso > Histórico de versões. Defina o período de retenção para pelo menos 30 dias. Isso garante que o histórico de versões esteja disponível para a janela completa de restauração. - Execute uma varredura de validação
Use uma ferramenta de terceiros ou um script personalizado para comparar o número total de arquivos e o tamanho total antes e depois da restauração. Se as contagens não coincidirem, você tem arquivos perdidos que precisam de recuperação manual.
Se a Restauração de Arquivos do OneDrive Ainda Tiver Problemas Após o Checklist
Arquivos restaurados, mas com conteúdo corrompido
Se o arquivo restaurado abrir, mas mostrar conteúdo embaralhado ou dados ausentes, o ransomware pode ter criptografado o arquivo antes do ponto de restauração. Nesse caso, você precisa restaurar uma versão anterior do histórico de versões. Vá até o arquivo, clique em Histórico de versões e selecione uma versão anterior ao início do ataque. Talvez seja necessário verificar várias versões para encontrar a última versão limpa.
Operação de restauração falha com código de erro 0x80070057
Esse erro ocorre quando o ponto de restauração está muito distante no passado ou o site tem mais de 100.000 itens. Reduza a janela de restauração para 7 dias ou divida o site em bibliotecas menores. Em seguida, tente a restauração novamente.
Arquivos em pastas compartilhadas não são restaurados
A restauração de arquivos do OneDrive afeta apenas a biblioteca do próprio usuário. Arquivos que foram compartilhados do OneDrive de outro usuário permanecem intocados. Você deve executar a restauração em cada OneDrive de usuário afetado individualmente. Para pastas compartilhadas que fazem parte de um site de equipe do SharePoint, restaure a biblioteca do site pelo centro de administração do SharePoint.
Restauração em Massa vs. Restauração Manual do Histórico de Versões: Principais Diferenças
| Item | Restauração em Massa | Restauração Manual do Histórico de Versões |
|---|---|---|
| Escopo | Site inteiro do OneDrive | Apenas um único arquivo |
| Lacuna de tempo | Até 30 minutos de alterações recentes perdidas | Sem lacuna se o histórico de versões estiver disponível |
| Recuperação de arquivos excluídos | Apenas arquivos na lixeira no ponto de restauração | Pode restaurar qualquer versão, incluindo versões excluídas |
| Velocidade | Minutos para até 100.000 itens | Segundos por arquivo |
| Requisito de administrador | Administrador global ou administrador do SharePoint | Proprietário do site ou usuário com permissões de edição |
Use a restauração em massa primeiro para reverter a maioria dos arquivos. Em seguida, use a restauração manual do histórico de versões para os arquivos que caem na lacuna de 30 minutos ou que foram excluídos permanentemente antes do ponto de restauração.
Após concluir este checklist, você fechou a lacuna entre a restauração em massa e as alterações reais dos arquivos. O próximo passo é habilitar os alertas de detecção de ransomware do OneDrive no portal do Microsoft 365 Defender para receber notificações em minutos de atividades suspeitas. Como dica avançada, configure um rótulo de retenção que preserve automaticamente o histórico de versões por 90 dias em todos os arquivos do OneDrive para estender a janela de recuperação além do limite padrão de 30 dias.