Ao usar o recurso de restauração de arquivos do OneDrive para recuperar dados após um ataque de ransomware, você pode descobrir que os arquivos restaurados contêm a versão errada. Isso acontece porque o ponto de restauração selecionado captura o estado dos arquivos em um momento específico, mas o ransomware pode modificar arquivos várias vezes antes que você perceba o ataque. Este artigo explica por que a versão errada aparece e fornece um checklist estruturado para garantir que você restaure a versão correta e limpa dos seus arquivos.
Principais Conclusões: Restaurando os Arquivos Corretos do OneDrive Após Ransomware
- Central de administração do OneDrive > Restaurar OneDrive > Selecionar data e hora: Escolha um ponto de restauração anterior ao primeiro evento de criptografia do ransomware, não após o início do ataque.
- Histórico de versões em arquivos individuais: Use para restaurar uma versão anterior específica se o ponto de restauração em massa incluir arquivos parcialmente criptografados.
- Backup de Pasta Conhecida: Verifique as pastas Área de Trabalho, Documentos e Imagens separadamente, pois o ransomware costuma mirar nelas primeiro.
Por que a Restauração de Arquivos do OneDrive Pode Retornar a Versão Errada Após Ransomware
O recurso de restauração de arquivos do OneDrive funciona revertendo todos os arquivos no OneDrive de um usuário para o estado em uma data e hora específicas. O ransomware normalmente criptografa arquivos em ondas ao longo de vários minutos ou horas. Se você selecionar um ponto de restauração muito tardio, restaura arquivos já criptografados. Se selecionar um ponto muito cedo, pode perder alterações legítimas feitas após esse ponto. O problema central é que o ransomware frequentemente deixa vestígios de criptografia parcial ou renomeia arquivos, e o recurso de restauração não distingue entre alterações maliciosas e legítimas. Ele simplesmente reescreve cada arquivo para o estado do ponto no tempo escolhido.
Como o Ransomware Modifica o Histórico de Versões dos Arquivos
O ransomware não apenas criptografa a versão atual do arquivo. Ele também grava cópias criptografadas no histórico de versões. Quando você executa uma restauração em massa, o OneDrive restaura a versão do arquivo que existia no momento selecionado. Se o ransomware criptografou o arquivo às 10:15 e você restaura para as 10:20, obtém a versão criptografada. O histórico de versões pode mostrar várias versões criptografadas. Apenas a versão imediatamente anterior ao primeiro evento de criptografia está limpa.
O Papel da Latência do Cliente de Sincronização
O cliente de sincronização do OneDrive não envia alterações instantaneamente. Há um atraso de segundos a minutos, dependendo do tamanho do arquivo e da velocidade da rede. Se o ransomware criptografar arquivos mais rápido do que o cliente de sincronização os envia, a nuvem pode nunca receber a versão limpa. Nesse caso, o ponto de restauração escolhido pode não ter uma versão limpa para reverter. Isso é mais comum quando o ransomware ataca dispositivos offline ou com conexão lenta.
Checklist: Como Restaurar a Versão Correta do OneDrive Após Ransomware
Siga estas etapas em ordem. Não pule nenhuma. Cada etapa reduz o risco de restaurar arquivos criptografados.
- Isole o dispositivo infectado imediatamente
Desconecte o dispositivo da rede e saia do OneDrive. Isso impede que o ransomware sincronize mais arquivos criptografados para a nuvem. Não exclua os arquivos locais ainda — eles podem ser necessários para análise forense. - Determine o timestamp de criptografia mais antigo
Verifique a hora de criação da nota do ransomware, as datas de modificação de uma amostra de arquivos criptografados ou os logs do seu software de segurança. Identifique a data e hora do primeiro evento de criptografia. Anote esse timestamp. Você o usará para selecionar um ponto de restauração. - Abra a central de administração do OneDrive
Vá para Central de administração do Microsoft 365 > Saúde > Central de administração do OneDrive. Selecione o usuário afetado na lista. - Inicie o assistente de restauração de arquivos
Clique em Restaurar OneDrive na barra de ferramentas. O assistente de restauração será aberto. - Defina o ponto de restauração para 24 horas antes da primeira criptografia
No campo Restaurar para uma data e hora, selecione um horário pelo menos 24 horas antes do timestamp de criptografia mais antigo. Isso garante que você capture uma versão limpa. Não escolha um horário após o início da criptografia. - Selecione os arquivos a serem restaurados
Por padrão, todos os arquivos estão selecionados. Se você souber que pastas específicas não foram afetadas, pode excluí-las para acelerar a restauração. Para recuperação de ransomware, restaure todos os arquivos para garantir. - Execute a restauração e monitore o progresso
Clique em Restaurar. O OneDrive exibirá uma barra de progresso. A restauração pode levar várias horas para bibliotecas grandes. Não feche a janela do navegador. - Verifique uma amostra dos arquivos restaurados
Após a conclusão da restauração, abra de três a cinco arquivos de pastas diferentes. Verifique se eles abrem corretamente e contêm o conteúdo esperado. Se algum arquivo ainda estiver criptografado, anote seu nome e timestamp. - Use o histórico de versões para arquivos que permanecem criptografados
Para cada arquivo problemático, clique com o botão direito no OneDrive e selecione Histórico de versões. Classifique as versões por data decrescente. Encontre a última versão datada antes do timestamp de criptografia. Clique nos três pontos e selecione Restaurar. - Verifique as pastas do recurso Known Folder Move separadamente
Se o usuário usa o recurso Known Folder Move, vá para as pastas Área de Trabalho, Documentos e Imagens no OneDrive. Repita as etapas 4 a 9 para cada pasta, se elas não foram incluídas na restauração em massa.
Se a Restauração de Arquivos do OneDrive Ainda Mostrar a Versão Errada
Mesmo após seguir o checklist, alguns arquivos podem permanecer corrompidos. Esta seção aborda padrões de falha específicos e suas correções.
Restauração do OneDrive Concluída, mas Arquivos Ainda Criptografados
Isso significa que o ponto de restauração selecionado foi após o início da criptografia. O histórico de versões também contém apenas versões criptografadas. Nesse caso, você precisa recuperar de um backup fora do OneDrive. Verifique sua política de retenção do Microsoft 365 ou solução de backup de terceiros. Se você tiver um backup anterior ao ataque, restaure a partir dele.
Restauração do OneDrive Reverteu Alterações Legítimas
Se você selecionou um ponto de restauração muito cedo, perde as alterações feitas após esse ponto. Para recuperar essas alterações, use o histórico de versões em cada arquivo afetado. Encontre a versão com as alterações legítimas e restaure-a. Este é um trabalho manual, mas é a única maneira de mesclar versões limpas com alterações pós-restauração.
Ransomware Excluiu Arquivos em Vez de Criptografá-los
Algumas variantes de ransomware excluem arquivos após a criptografia. O recurso de restauração do OneDrive pode recuperar arquivos excluídos se você selecionar um ponto de restauração anterior à exclusão. Se a exclusão ocorreu após a criptografia, o ponto de restauração deve ser anterior ao timestamp de criptografia. Arquivos excluídos há mais de 30 dias podem estar na lixeira. Verifique a lixeira do OneDrive primeiro e depois execute a restauração.
Restauração do OneDrive vs. Histórico de Versões: Quando Usar Cada Um
| Item | Restauração de Arquivos do OneDrive | Histórico de Versões |
|---|---|---|
| Escopo | Todos os arquivos no OneDrive do usuário de uma vez | Um arquivo por vez |
| Precisão do ponto de restauração | Data e hora arredondadas para o minuto | Cada versão salva com timestamp exato |
| Melhor caso de uso | Recuperação em massa após ransomware com ponto limpo conhecido | Recuperar um ou poucos arquivos com necessidades de versão específicas |
| Risco de restaurar conteúdo criptografado | Alto se o ponto de restauração for muito tardio | Baixo se você escolher manualmente uma versão pré-criptografia |
| Tempo para concluir | Minutos a horas | Segundos por arquivo |
Use o recurso de restauração de arquivos como sua ferramenta principal para recuperação de ransomware, pois é mais rápido para operações em massa. Use o histórico de versões apenas para arquivos que a restauração em massa não conseguiu corrigir. Combinar ambos os métodos oferece a maior chance de recuperar arquivos limpos.
Agora você pode restaurar arquivos do OneDrive após um ataque de ransomware com a confiança de que obterá a versão correta. Comece isolando o dispositivo infectado e identificando o timestamp de criptografia mais antigo. Em seguida, use o assistente de restauração da central de administração do OneDrive com um ponto de restauração de pelo menos 24 horas antes desse timestamp. Para quaisquer arquivos corrompidos restantes, use o histórico de versões para restaurar versões limpas individuais. Como dica avançada, habilite rótulos de retenção do Microsoft 365 com um período de retenção de 90 dias para criar uma camada de backup independente que o cliente de sincronização não pode sobrescrever.