Você sofreu um ataque de ransomware em seus arquivos do OneDrive. Usa o recurso de restauração de arquivos do OneDrive para recuperar seus dados. Mas os arquivos restaurados não são a versão que você precisa. Eles podem ser de uma data posterior à criptografia do ransomware ou podem estar faltando alterações feitas antes do ataque. Este artigo explica por que o recurso de restauração de arquivos pode retornar a versão errada e como selecionar o ponto de restauração correto e verificar seus arquivos.
Principais conclusões: Restaurar os arquivos corretos do OneDrive após ransomware
- OneDrive web > Configurações > Restaurar seu OneDrive: Abre o assistente de restauração de arquivos onde você escolhe um intervalo de data e hora para recuperação.
- Registro de atividades no assistente de restauração: Mostra as alterações de arquivo por data; a atividade do ransomware aparece como um pico em modificações ou exclusões.
- Histórico de versões de 30 dias: Permite restaurar manualmente um único arquivo para uma versão anterior específica sem usar o recurso de restauração em massa.
Por que o recurso de restauração de arquivos retorna a versão errada
O recurso de restauração de arquivos do OneDrive funciona examinando o registro de atividades do seu OneDrive. Ele identifica todas as alterações feitas durante um período que você especifica. Quando você seleciona uma data, o OneDrive reverte cada arquivo que foi modificado, excluído ou adicionado durante esse período para o estado do início do período. A causa raiz de obter a versão errada é que o ponto de restauração selecionado é posterior ao início da modificação dos arquivos pelo ransomware. Se você escolher um horário de restauração muito tarde, restaura cópias criptografadas em vez de cópias limpas. Outra causa comum é que o ransomware pode ter carregado novas versões de arquivos ao longo de várias horas ou dias. Você precisa de um ponto de restauração anterior à primeira alteração maliciosa.
O OneDrive mantém versões de arquivos por 30 dias para usuários empresariais. O assistente de restauração mostra uma linha do tempo da atividade. Se você não rolar para trás o suficiente, perde o estado anterior ao ransomware. Além disso, o recurso de restauração funciona em todo o OneDrive ou em uma pasta selecionada. Você não pode restaurar apenas tipos de arquivo específicos ou excluir determinadas pastas no assistente.
Etapas para identificar e restaurar a versão correta
Siga estas etapas para determinar o momento exato em que seus arquivos estavam limpos e realizar uma restauração para esse ponto.
- Faça login no OneDrive na web
Abra um navegador e acesse https://onedrive.live.com. Faça login com sua conta corporativa ou de estudante que possui os arquivos afetados. - Abra o assistente Restaurar seu OneDrive
Clique no ícone de engrenagem Configurações no canto superior direito. Selecione Restaurar seu OneDrive no menu. O assistente abre e mostra uma linha do tempo da atividade do seu OneDrive. - Analise o registro de atividades em busca de padrões de ransomware
Observe o gráfico na parte superior do assistente. Ele mostra o número de arquivos alterados por dia. Um pico repentino em modificações ou exclusões geralmente indica atividade de ransomware. Anote a data em que o pico começa. Você precisa restaurar para uma data anterior a esse pico. - Selecione um ponto de restauração anterior ao ataque
Use o seletor de data abaixo do gráfico. Escolha uma data e hora que seja pelo menos 24 horas antes da primeira atividade suspeita. Por exemplo, se o pico começar em 10 de março, escolha 8 de março às 23:59. Clique em Avançar. - Visualize os arquivos que serão restaurados
O assistente mostra uma lista de arquivos que serão revertidos. Percorra a lista. Procure nomes de arquivos que você reconhece como limpos. Se a lista contiver arquivos que parecem ter nomes ou extensões criptografados, você ainda pode estar muito tarde. Volte e escolha uma data anterior. - Execute a restauração
Quando estiver satisfeito com a visualização, clique em Restaurar. O OneDrive começa a reverter os arquivos. O processo pode levar de alguns minutos a várias horas, dependendo do número de arquivos. Você receberá um e-mail quando a restauração for concluída. - Verifique uma amostra dos arquivos restaurados
Abra alguns arquivos de pastas diferentes. Verifique se o conteúdo é a versão esperada anterior ao ransomware. Se ainda vir conteúdo criptografado, repita o processo com um ponto de restauração anterior.
Se a restauração em massa ainda retornar versões erradas
Quando o assistente de restauração em massa repetidamente fornece a versão errada, use o recurso manual de histórico de versões para arquivos críticos. Clique com o botão direito em um arquivo no OneDrive na web e selecione Histórico de versões. Um painel é aberto mostrando todas as versões salvas com carimbos de data/hora. Clique nos três pontos ao lado de uma versão anterior ao ataque e selecione Restaurar. Este método permite escolher uma versão exata por arquivo. É mais lento para muitos arquivos, mas garante precisão.
Se a restauração de arquivos do OneDrive ainda tiver problemas após a correção principal
OneDrive restaura arquivos, mas eles ainda estão criptografados
Se os arquivos restaurados permanecerem criptografados, o ransomware pode ter modificado arquivos silenciosamente ao longo de vários dias. O registro de atividades pode não mostrar um pico claro. Nesse caso, restaure para um ponto pelo menos uma semana antes de você notar o ataque pela primeira vez. Você também pode usar o Histórico de versões em um único arquivo para encontrar uma versão que claramente não esteja criptografada. Anote a data dessa versão e use-a como ponto de restauração no assistente.
Desfazer restauração do OneDrive não funciona
Após uma restauração, o OneDrive fornece um link para desfazer a restauração por 30 dias. Se o desfazer não funcionar, a janela de 30 dias pode ter expirado ou a restauração alterou muitos arquivos. Você ainda pode usar o Histórico de versões em arquivos individuais para revertê-los ao estado pós-restauração, se necessário. Para uma reversão completa, entre em contato com o suporte da Microsoft dentro de 30 dias após a restauração.
A restauração de arquivos do OneDrive está esmaecida ou indisponível
O recurso de restauração está disponível apenas para usuários com uma licença do OneDrive for Business. Se a opção estiver esmaecida, seu administrador de TI pode tê-la desabilitado no centro de administração do SharePoint em Configurações > OneDrive > Restaurar OneDrive. Entre em contato com seu administrador para ativá-la. Alternativamente, seu OneDrive pode ter o histórico de versões desabilitado. Verifique com seu administrador se o histórico de versões está definido para pelo menos 14 dias.
| Item | Restauração em massa (Restaurar seu OneDrive) | Histórico de versões manual |
|---|---|---|
| Escopo | OneDrive inteiro ou pastas selecionadas | Apenas arquivos individuais |
| Seleção do ponto de restauração | Data e hora baseadas no registro de atividades | Versão exata de uma lista de todas as versões salvas |
| Tempo para concluir | Minutos a horas | Segundos por arquivo |
| Risco de versão errada | Maior se o ponto de restauração for muito tarde | Menor porque você escolhe a versão específica |
| Melhor para | Recuperar muitos arquivos rapidamente após um horário de ataque conhecido | Recuperar arquivos críticos quando o horário do ataque é incerto |
Agora você sabe por que o recurso de restauração de arquivos do OneDrive pode retornar a versão errada após um ataque de ransomware. O segredo é identificar o momento exato em que o ransomware começou a modificar os arquivos e restaurar para um ponto anterior a esse momento. Use o registro de atividades no assistente de restauração para encontrar o pico do ataque. Se a restauração em massa ainda fornecer versões erradas, mude para o histórico de versões manual para cada arquivo. Como dica avançada, ative o Arquivos sob Demanda do OneDrive para que cópias locais não sejam sincronizadas automaticamente durante um ataque, fornecendo um backup local limpo para recorrer.