Gestione di ransomware in Sharepoint Online
Riepilogo
Ransomware è malware che blocca l'accesso a vari elementi sul computer. Il creatore richiede quindi di pagare un riscatto prima che lo faranno, presumibilmente, fornire le informazioni necessarie per rilasciare il blocco e permettervi di riottenere l'accesso.
Ulteriori informazioni
Funzionamento del ransomware con SharePoint Online o OneDrive
Ransomware è un eseguibile che viene eseguito localmente. Il ransomware specifico che è stato esaminato da Microsoft che influisce su SharePoint o OneDrive manipola singoli file nel computer dell'utente tramite un'unità mappata in una raccolta di SharePoint o una connessione OneDrive.
Dopo aver stabilito il ransomware, i file infetti vengono sincronizzati con l'ambiente online dallo strumento client di sincronizzazione o da vari metodi WebDAV. Le varie manipolazioni dei file includono, ma non sono limitate a:
- Crittografia della chiave pubblica o privata
- Aggiunta di un'estensione sconosciuta al nome file
- Eliminazione di file esistenti
Inoltre, molti nuovi file vengono aggiunti a ogni directory che contiene istruzioni su chi pagare il riscatto.
Come verificare che gli articoli della libreria siano tenuti per riscatto
I segni che una raccolta di SharePoint è infettata da ransomware includono:
- La maggior parte dei file di libreria ha lo stesso timestamp modificato.
- I file non vengono aperti e restituiscono un messaggio che indica che potrebbero essere danneggiati.
- Ogni directory all'interno della libreria contiene diversi file con nomi casuali come HELP_DECRYPT e HELP_Recover. Questi file possono essere aperti, e contengono istruzioni per pagare il riscatto.
- I file vengono rinominati o hanno un'estensione di file aggiunta.
Come Microsoft può aiutare
Se sei interessato dal ransomware, prova i metodi seguenti:
Arrestare immediatamente sincronizzazione OneDrive o disconnettere l'unità mappata a una raccolta di SharePoint.
Chiedere all'amministratore aziendale (o all'utente interessato) di provare a ripristinare i file usando la procedura appropriata:
- SharePoint: vedere Ripristinare una raccolta documenti
- OneDrive: vedere Ripristinare una libreria di OneDrive
I clienti possono anche usare Backup di Microsoft 365 per il ripristino dei dati. Backup di Microsoft 365 offre un tempo di protezione più lungo e offre un ripristino rapido in modo univoco da scenari comuni di continuità aziendale e ripristino di emergenza (BCDR), ad esempio ransomware o contenuto accidentale o dannoso dei dipendenti sovrascritto o eliminazione. Altre protezioni per scenari BCDR sono integrate direttamente nel servizio per offrire un livello avanzato di protezione dei dati.
Note
SharePoint conserva i backup di tutto il contenuto per 14 giorni aggiuntivi oltre l'eliminazione effettiva. Se il contenuto non può essere ripristinato, un amministratore può contattare supporto tecnico Microsoft per richiedere un ripristino in qualsiasi momento all'interno della finestra di 14 giorni. Assicurarsi di prendere nota dei dettagli seguenti:
- Quali URL di raccolta siti sono stati interessati da ransomware?
- Quando era l'ultima volta nota che i file non sono stati modificati dal ransomware?
Ulteriore assistenza?
Per altre informazioni sul ransomware, vedere Che cos'è ransomware?
Serve ancora assistenza? Visitare la community di SharePoint.