Você usa a restauração de arquivos do OneDrive for Business para recuperar arquivos após um ataque de ransomware, mas os arquivos restaurados estão perdendo as versões mais recentes em que você trabalhou antes do ataque. Isso acontece porque o recurso de restauração de arquivos só recupera versões que existiam antes de o ransomware modificá-los ou criptografá-los, e as alterações salvas pouco antes do ataque podem ficar fora da janela padrão do histórico de versões. Este artigo explica por que alterações recentes podem ser perdidas durante a recuperação de ransomware, fornece instruções passo a passo para localizar e restaurar essas versões ausentes, lista padrões de falha relacionados e suas correções, e compara métodos de recuperação para que você escolha a abordagem certa.
Principais conclusões: Restaurando alterações recentes após ransomware no OneDrive
- Restauração de arquivos do OneDrive > Histórico de versões > Selecionar intervalo de datas: A ferramenta de restauração de arquivos só recupera arquivos para um ponto no tempo com base no histórico de versões disponível, normalmente até 30 dias para assinantes do Microsoft 365 Business.
- Painel de histórico de versões > Restaurar uma versão anterior: Se a restauração de arquivos perder alterações recentes, abra o histórico de versões de cada arquivo diretamente para encontrar e restaurar a versão exata necessária.
- Lixeira do OneDrive > Lixeira de segundo estágio: Arquivos excluídos por ransomware ainda podem ser recuperáveis na lixeira do conjunto de sites, que retém itens por até 93 dias.
Por que a restauração de arquivos do OneDrive perde alterações recentes após ransomware
O recurso de restauração de arquivos do OneDrive for Business funciona examinando o histórico de versões de todos os arquivos no seu OneDrive e revertendo-os para um estado anterior a um ponto no tempo selecionado. Quando o ransomware ataca, ele geralmente criptografa ou renomeia arquivos rapidamente, e a ferramenta de restauração só pode reverter para versões que existiam antes do timestamp da criptografia. Se você salvou um arquivo minutos antes do ransomware atingir, essa versão ainda pode estar presente no histórico de versões, mas a ferramenta de restauração pode ignorá-la se o ataque corrompeu os metadados do arquivo ou se o intervalo de restauração selecionado não inclui esse momento exato.
Além disso, a retenção padrão do histórico de versões para o OneDrive for Business é de 30 dias para usuários com licenças Microsoft 365 Business Basic, Standard ou Premium. Se sua organização definiu uma política de retenção personalizada, a janela pode ser menor ou maior. A ferramenta de restauração também não pode recuperar arquivos que foram excluídos permanentemente antes da operação de restauração, nem pode recuperar alterações que nunca foram sincronizadas com a nuvem porque o usuário estava offline quando o ataque ocorreu.
Etapas para recuperar alterações recentes perdidas pela restauração de arquivos do OneDrive
Siga estas etapas em ordem. Se um método não recuperar as alterações ausentes, prossiga para o próximo.
Etapa 1: Verifique a lixeira do OneDrive em busca de arquivos excluídos
- Abra a lixeira do OneDrive
Acessehttps://onedrive.live.come faça login. No painel de navegação esquerdo, selecione Lixeira. Procure arquivos que foram excluídos pelo ransomware. Selecione os arquivos necessários e clique em Restaurar. - Verifique a lixeira de segundo estágio
Se os arquivos não estiverem na lixeira, clique em Lixeira de segundo estágio na parte inferior da página da lixeira. Esta lixeira retém itens excluídos por até 93 dias para conjuntos de sites do SharePoint Online. Selecione os arquivos e clique em Restaurar.
Etapa 2: Restaure versões individuais de arquivos pelo histórico de versões
- Navegue até o arquivo afetado
No OneDrive, vá até a pasta que contém o arquivo com alterações recentes ausentes. Clique com o botão direito no arquivo e selecione Histórico de versões. Como alternativa, selecione o arquivo e clique no menu … (reticências) e escolha Histórico de versões. - Localize a versão mais recente antes do ataque
O painel de histórico de versões lista todas as versões salvas com timestamps. Procure a versão que foi salva pouco antes de o ransomware criptografar o arquivo. Essa versão terá um timestamp anterior ao horário do ataque. Clique nos três pontos ao lado dessa versão e selecione Restaurar. Confirme a restauração.
Etapa 3: Use um intervalo de datas mais amplo na restauração de arquivos
- Abra a ferramenta de restauração de arquivos do OneDrive
Acessehttps://onedrive.live.com, clique no ícone de engrenagem Configurações no canto superior direito, selecione Opções e depois clique em Restaurar seu OneDrive. - Defina um intervalo de datas personalizado
Na caixa de diálogo de restauração, escolha Data e hora personalizadas. Defina a hora de início para várias horas antes de suspeitar que o ransomware atacou e a hora de término para logo após o ataque. Isso força a ferramenta a examinar um histórico de versões mais amplo. Clique em Restaurar. Revise os arquivos restaurados e verifique se as alterações recentes agora estão presentes.
Etapa 4: Recupere de um backup local ou cache do cliente de sincronização
- Verifique a pasta local do OneDrive
No seu dispositivo Windows, abra o Explorador de Arquivos e navegue até a pasta do OneDrive. Procure arquivos com uma marca de seleção verde (sincronizados) ou um ícone de nuvem azul (somente online). Se o ransomware criptografou cópias locais, esses arquivos estarão inutilizáveis. No entanto, se você tinha Arquivos Sob Demanda ativado e os arquivos não foram baixados localmente, as versões na nuvem podem estar intactas. - Restaure de um backup anterior do Windows
Se você tiver o Histórico de Arquivos ou a Restauração do Sistema ativados, clique com o botão direito na pasta do OneDrive, selecione Restaurar versões anteriores e escolha uma versão anterior ao ataque. Isso funciona apenas se o backup estava sendo executado antes do ransomware atingir.
Se a restauração de arquivos do OneDrive ainda perder alterações recentes
Arquivos nunca foram sincronizados com a nuvem
Se o usuário estava trabalhando offline quando o ransomware atingiu, as alterações recentes existem apenas no dispositivo local. Nesse caso, a ferramenta de restauração não pode recuperar essas alterações porque elas nunca foram enviadas. Para recuperar, desconecte o dispositivo da rede imediatamente e copie a pasta local do OneDrive para uma unidade externa. Use uma ferramenta de descriptografia de ransomware se os arquivos estiverem criptografados ou restaure de um backup local.
O período de retenção do histórico de versões expirou
Se as alterações recentes foram feitas há mais de 30 dias e sua organização tem a política de retenção padrão, essas versões foram excluídas permanentemente. Entre em contato com seu administrador do Microsoft 365 para verificar se a política de retenção foi estendida. Caso contrário, a única opção de recuperação é de um backup externo ou cópia local.
A ferramenta de restauração de arquivos não mostra versões para restaurar
Isso pode acontecer se o ransomware excluiu o arquivo completamente e a lixeira foi esvaziada. Nesse caso, verifique a lixeira de segundo estágio. Se o arquivo não estiver lá, use a ferramenta eDiscovery no centro de conformidade do Microsoft 365 para pesquisar arquivos excluídos. Seu administrador pode realizar essa pesquisa se você não tiver permissões.
Restauração de arquivos do OneDrive vs Histórico de versões vs Lixeira: Principais diferenças
| Item | Restauração de arquivos do OneDrive | Histórico de versões |
|---|---|---|
| Escopo | Restaura todos os arquivos no seu OneDrive para um ponto no tempo | Restaura um único arquivo para uma versão específica |
| Retenção | Até 30 dias para assinantes do Microsoft 365 Business | Mesma retenção da restauração de arquivos |
| Lixeira | Restaura arquivos e pastas excluídos | Não restaura arquivos excluídos |
Use a restauração de arquivos para recuperação em massa após ransomware. Use o histórico de versões quando precisar de uma versão recente específica que a restauração em massa perdeu. Use a lixeira quando os arquivos foram excluídos completamente.
Agora você pode recuperar alterações recentes que a restauração de arquivos do OneDrive perdeu verificando o histórico de versões de cada arquivo, expandindo o intervalo de datas na ferramenta de restauração e usando a lixeira. Em seguida, configure a retenção do histórico de versões para 90 dias no centro de administração do Microsoft 365 para ter uma janela de recuperação maior. Uma dica avançada: ative a Biblioteca de retenção no SharePoint Online para evitar a exclusão permanente de arquivos durante um ataque de ransomware.