Após um ataque de ransomware, seus arquivos do OneDrive podem ser criptografados, renomeados ou excluídos. O invasor geralmente deixa uma nota de resgate, mas não fornece uma chave de descriptografia funcional. O Microsoft OneDrive inclui ferramentas de recuperação de arquivos integradas que podem restaurar seus dados para um estado anterior ao ataque. Este artigo explica como usar o Histórico de Versões, a Lixeira e o recurso de Restauração do OneDrive para recuperar seus arquivos após remover o ransomware. Você também aprenderá como prevenir futuras infecções revisando configurações de segurança importantes.
Principais Conclusões: Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware
- Lixeira do OneDrive: Restaure arquivos excluídos da Lixeira de nível de site em até 93 dias após a exclusão.
- Histórico de Versões: Reverta arquivos individuais para uma versão salva antes de o ransomware criptografá-los.
- Restauração do OneDrive: Reverta todo o seu OneDrive para um ponto no tempo de até 30 dias atrás.
Como o Ransomware Afeta os Arquivos do OneDrive
O ransomware criptografa arquivos no seu computador local. Se a sincronização do OneDrive estiver ativa, as versões criptografadas são enviadas para a nuvem e substituem as originais. O invasor também pode excluir ou renomear arquivos para dificultar a recuperação. Como o OneDrive mantém versões anteriores de arquivos e itens excluídos por um tempo limitado, você pode restaurar cópias não criptografadas sem pagar o resgate.
O fator chave é o tempo. O OneDrive mantém o histórico de versões por até 500 versões principais por arquivo. Os arquivos excluídos permanecem na Lixeira de primeiro estágio por 30 dias e depois vão para a Lixeira de segundo estágio por mais 63 dias. O recurso de Restauração do OneDrive pode reverter todo o seu OneDrive para qualquer ponto nos últimos 30 dias. Desde que o ransomware não tenha excluído permanentemente os arquivos além dessas janelas de retenção, a recuperação é possível.
Passos para Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware
Método 1: Restaurar Arquivos Individuais Usando o Histórico de Versões
- Abra o OneDrive em um navegador da web
Acessehttps://onedrive.live.come faça login com sua conta corporativa ou de estudante do Microsoft 365. Navegue até a pasta que contém o arquivo criptografado. - Selecione o arquivo e veja o histórico de versões
Clique com o botão direito no arquivo e escolha Histórico de versões. Um painel será aberto listando todas as versões salvas com carimbos de data/hora. - Identifique uma versão anterior ao ataque
Procure uma versão com data anterior ao início da infecção por ransomware. O ransomware geralmente criptografa arquivos em um curto período, então uma versão de algumas horas ou um dia antes provavelmente não está criptografada. - Restaure a versão anterior
Clique nos três pontos ao lado da versão desejada e selecione Restaurar. O arquivo será revertido para essa versão imediatamente. Baixe uma cópia para o seu computador local para confirmar que o arquivo está intacto.
Método 2: Recuperar Arquivos Excluídos da Lixeira
- Abra a Lixeira do OneDrive
No painel de navegação esquerdo do OneDrive na web, clique em Lixeira. Os arquivos excluídos aparecem em uma lista. - Verifique a Lixeira de segundo estágio
Se você não encontrar o arquivo, role até o final da página e clique em Lixeira de segundo estágio. Os arquivos excluídos da Lixeira de primeiro estágio permanecem aqui por até 63 dias adicionais. - Selecione os arquivos e restaure
Marque a caixa ao lado de cada arquivo que deseja recuperar. Clique em Restaurar no topo da página. Os arquivos retornarão aos seus locais originais. - Verifique os arquivos restaurados
Navegue até a pasta original e abra o arquivo. Se ainda estiver criptografado, use o Histórico de Versões para reverter para uma versão anterior.
Método 3: Usar a Restauração do OneDrive para Reverter Toda a Conta
- Abra as configurações do OneDrive
No OneDrive na web, clique no ícone de engrenagem no canto superior direito e selecione Configurações do OneDrive. - Vá para a guia Restaurar
No painel de navegação esquerdo, clique em Restaurar seu OneDrive. Um calendário e um gráfico de atividade aparecerão. - Escolha um ponto de restauração
Use o calendário para selecionar uma data e hora anteriores ao ataque de ransomware. O gráfico de atividade mostra as alterações nos arquivos. Clique em um ponto no gráfico para selecionar um horário específico de restauração. O padrão é 24 horas atrás, mas você pode voltar até 30 dias. - Confirme e inicie a restauração
Clique em Restaurar. Um aviso informa que todas as alterações após o horário selecionado serão sobrescritas. Clique em Sim para prosseguir. O processo de restauração pode levar de alguns minutos a várias horas, dependendo do número de arquivos. - Verifique os resultados
Após a conclusão da restauração, navegue pelas pastas do seu OneDrive. Os arquivos agora devem estar descriptografados. Se alguns arquivos ainda estiverem criptografados, repita o processo com um ponto de restauração anterior ou use o Histórico de Versões nesses arquivos específicos.
Se a Recuperação do OneDrive Não Funcionar como Esperado
A Restauração do OneDrive não mostra pontos de restauração disponíveis
Esse recurso requer uma assinatura do Microsoft 365. Se você não vir calendário ou gráfico de atividade, seu locatário pode ter o recurso desabilitado. Entre em contato com o administrador do Microsoft 365 para habilitar a Restauração do OneDrive no centro de administração do SharePoint, em Configurações > OneDrive. Verifique também se o ataque de ransomware ocorreu nos últimos 30 dias.
O Histórico de Versões não lista versões anteriores ao ataque
O OneDrive mantém o histórico de versões por até 500 versões por arquivo. Se o ransomware abriu e salvou o arquivo muitas vezes, as versões mais antigas podem ter sido removidas. Nesse caso, use a Restauração do OneDrive para reverter toda a biblioteca para antes do ataque.
Os arquivos ainda estão criptografados após a restauração
Se o ponto de restauração selecionado foi após o ransomware criptografar os arquivos pela primeira vez, as cópias restauradas também estarão criptografadas. Escolha um ponto de restauração anterior. Se o ransomware excluiu os arquivos originais e o ponto de restauração é posterior à exclusão, os arquivos não serão recuperados. Nesse cenário, recupere da Lixeira primeiro e depois use o Histórico de Versões nos arquivos recuperados.
Restauração do OneDrive vs Histórico de Versões vs Lixeira: Principais Diferenças
| Item | Restauração do OneDrive | Histórico de Versões | Lixeira |
|---|---|---|---|
| Escopo | Conta inteira do OneDrive | Arquivo único | Apenas arquivos excluídos |
| Período de retenção | Até 30 dias atrás | Até 500 versões por arquivo | 93 dias no total (30 + 63) |
| Melhor caso de uso | Criptografia ou exclusão generalizada | Um ou poucos arquivos criptografados | Arquivos excluídos acidentalmente |
| Requer administrador | Sim, se o recurso estiver desabilitado | Não | Não |
Após recuperar seus arquivos, revise as configurações de sincronização do OneDrive. Ative o Movimento de Pastas Conhecidas para fazer backup das pastas Área de Trabalho, Documentos e Imagens. Configure a Restauração de Arquivos para notificá-lo sobre exclusões em grande escala. Ative a autenticação multifator na sua conta do Microsoft 365 para reduzir o risco de roubo de credenciais, que frequentemente possibilita o ransomware.