Como Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware
🔍 WiseChecker

Como Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware

Após um ataque de ransomware, seus arquivos do OneDrive podem ser criptografados, renomeados ou excluídos. O invasor geralmente deixa uma nota de resgate, mas não fornece uma chave de descriptografia funcional. O Microsoft OneDrive inclui ferramentas de recuperação de arquivos integradas que podem restaurar seus dados para um estado anterior ao ataque. Este artigo explica como usar o Histórico de Versões, a Lixeira e o recurso de Restauração do OneDrive para recuperar seus arquivos após remover o ransomware. Você também aprenderá como prevenir futuras infecções revisando configurações de segurança importantes.

Principais Conclusões: Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware

  • Lixeira do OneDrive: Restaure arquivos excluídos da Lixeira de nível de site em até 93 dias após a exclusão.
  • Histórico de Versões: Reverta arquivos individuais para uma versão salva antes de o ransomware criptografá-los.
  • Restauração do OneDrive: Reverta todo o seu OneDrive para um ponto no tempo de até 30 dias atrás.

ADVERTISEMENT

Como o Ransomware Afeta os Arquivos do OneDrive

O ransomware criptografa arquivos no seu computador local. Se a sincronização do OneDrive estiver ativa, as versões criptografadas são enviadas para a nuvem e substituem as originais. O invasor também pode excluir ou renomear arquivos para dificultar a recuperação. Como o OneDrive mantém versões anteriores de arquivos e itens excluídos por um tempo limitado, você pode restaurar cópias não criptografadas sem pagar o resgate.

O fator chave é o tempo. O OneDrive mantém o histórico de versões por até 500 versões principais por arquivo. Os arquivos excluídos permanecem na Lixeira de primeiro estágio por 30 dias e depois vão para a Lixeira de segundo estágio por mais 63 dias. O recurso de Restauração do OneDrive pode reverter todo o seu OneDrive para qualquer ponto nos últimos 30 dias. Desde que o ransomware não tenha excluído permanentemente os arquivos além dessas janelas de retenção, a recuperação é possível.

Passos para Recuperar Arquivos do OneDrive Após a Limpeza de Ransomware

Método 1: Restaurar Arquivos Individuais Usando o Histórico de Versões

  1. Abra o OneDrive em um navegador da web
    Acesse https://onedrive.live.com e faça login com sua conta corporativa ou de estudante do Microsoft 365. Navegue até a pasta que contém o arquivo criptografado.
  2. Selecione o arquivo e veja o histórico de versões
    Clique com o botão direito no arquivo e escolha Histórico de versões. Um painel será aberto listando todas as versões salvas com carimbos de data/hora.
  3. Identifique uma versão anterior ao ataque
    Procure uma versão com data anterior ao início da infecção por ransomware. O ransomware geralmente criptografa arquivos em um curto período, então uma versão de algumas horas ou um dia antes provavelmente não está criptografada.
  4. Restaure a versão anterior
    Clique nos três pontos ao lado da versão desejada e selecione Restaurar. O arquivo será revertido para essa versão imediatamente. Baixe uma cópia para o seu computador local para confirmar que o arquivo está intacto.

Método 2: Recuperar Arquivos Excluídos da Lixeira

  1. Abra a Lixeira do OneDrive
    No painel de navegação esquerdo do OneDrive na web, clique em Lixeira. Os arquivos excluídos aparecem em uma lista.
  2. Verifique a Lixeira de segundo estágio
    Se você não encontrar o arquivo, role até o final da página e clique em Lixeira de segundo estágio. Os arquivos excluídos da Lixeira de primeiro estágio permanecem aqui por até 63 dias adicionais.
  3. Selecione os arquivos e restaure
    Marque a caixa ao lado de cada arquivo que deseja recuperar. Clique em Restaurar no topo da página. Os arquivos retornarão aos seus locais originais.
  4. Verifique os arquivos restaurados
    Navegue até a pasta original e abra o arquivo. Se ainda estiver criptografado, use o Histórico de Versões para reverter para uma versão anterior.

Método 3: Usar a Restauração do OneDrive para Reverter Toda a Conta

  1. Abra as configurações do OneDrive
    No OneDrive na web, clique no ícone de engrenagem no canto superior direito e selecione Configurações do OneDrive.
  2. Vá para a guia Restaurar
    No painel de navegação esquerdo, clique em Restaurar seu OneDrive. Um calendário e um gráfico de atividade aparecerão.
  3. Escolha um ponto de restauração
    Use o calendário para selecionar uma data e hora anteriores ao ataque de ransomware. O gráfico de atividade mostra as alterações nos arquivos. Clique em um ponto no gráfico para selecionar um horário específico de restauração. O padrão é 24 horas atrás, mas você pode voltar até 30 dias.
  4. Confirme e inicie a restauração
    Clique em Restaurar. Um aviso informa que todas as alterações após o horário selecionado serão sobrescritas. Clique em Sim para prosseguir. O processo de restauração pode levar de alguns minutos a várias horas, dependendo do número de arquivos.
  5. Verifique os resultados
    Após a conclusão da restauração, navegue pelas pastas do seu OneDrive. Os arquivos agora devem estar descriptografados. Se alguns arquivos ainda estiverem criptografados, repita o processo com um ponto de restauração anterior ou use o Histórico de Versões nesses arquivos específicos.

ADVERTISEMENT

Se a Recuperação do OneDrive Não Funcionar como Esperado

A Restauração do OneDrive não mostra pontos de restauração disponíveis

Esse recurso requer uma assinatura do Microsoft 365. Se você não vir calendário ou gráfico de atividade, seu locatário pode ter o recurso desabilitado. Entre em contato com o administrador do Microsoft 365 para habilitar a Restauração do OneDrive no centro de administração do SharePoint, em Configurações > OneDrive. Verifique também se o ataque de ransomware ocorreu nos últimos 30 dias.

O Histórico de Versões não lista versões anteriores ao ataque

O OneDrive mantém o histórico de versões por até 500 versões por arquivo. Se o ransomware abriu e salvou o arquivo muitas vezes, as versões mais antigas podem ter sido removidas. Nesse caso, use a Restauração do OneDrive para reverter toda a biblioteca para antes do ataque.

Os arquivos ainda estão criptografados após a restauração

Se o ponto de restauração selecionado foi após o ransomware criptografar os arquivos pela primeira vez, as cópias restauradas também estarão criptografadas. Escolha um ponto de restauração anterior. Se o ransomware excluiu os arquivos originais e o ponto de restauração é posterior à exclusão, os arquivos não serão recuperados. Nesse cenário, recupere da Lixeira primeiro e depois use o Histórico de Versões nos arquivos recuperados.

Restauração do OneDrive vs Histórico de Versões vs Lixeira: Principais Diferenças

Item Restauração do OneDrive Histórico de Versões Lixeira
Escopo Conta inteira do OneDrive Arquivo único Apenas arquivos excluídos
Período de retenção Até 30 dias atrás Até 500 versões por arquivo 93 dias no total (30 + 63)
Melhor caso de uso Criptografia ou exclusão generalizada Um ou poucos arquivos criptografados Arquivos excluídos acidentalmente
Requer administrador Sim, se o recurso estiver desabilitado Não Não

Após recuperar seus arquivos, revise as configurações de sincronização do OneDrive. Ative o Movimento de Pastas Conhecidas para fazer backup das pastas Área de Trabalho, Documentos e Imagens. Configure a Restauração de Arquivos para notificá-lo sobre exclusões em grande escala. Ative a autenticação multifator na sua conta do Microsoft 365 para reduzir o risco de roubo de credenciais, que frequentemente possibilita o ransomware.

ADVERTISEMENT