Controlar ransomware en Sharepoint Online
Resumen
Ransomware es malware que bloquea el acceso a varios elementos en su computadora. A continuación, el creador exige que pagues un rescate antes de que proporcionen la información necesaria para liberar el bloqueo y dejarte recuperar el acceso.
Más información
Funcionamiento del ransomware con SharePoint Online o OneDrive
Ransomware es un ejecutable que se ejecuta localmente. El ransomware específico revisado por Microsoft que afecta a SharePoint o OneDrive manipula archivos individuales en el equipo del usuario a través de una unidad asignada en una biblioteca de SharePoint o una conexión de OneDrive.
Una vez establecido el ransomware, los archivos infectados se sincronizan con el entorno en línea mediante la herramienta cliente de sincronización o por varios métodos webDAV. Entre las diversas manipulaciones de los archivos se incluyen, entre otras:
- Cifrado de clave pública o privada
- Anexar una extensión desconocida al nombre de archivo
- Eliminación de archivos existentes
Además, se agregan muchos archivos nuevos a cada directorio que contiene instrucciones sobre quién pagar el rescate.
Cómo comprobar que los elementos de biblioteca se mantienen para el rescate
Los signos de que una biblioteca de SharePoint está infectado por ransomware incluyen:
- La mayoría de los archivos de biblioteca tienen la misma marca de tiempo Modificada por .
- Los archivos no se abren y devuelven un mensaje que indica que posiblemente están dañados.
- Cada directorio de la biblioteca contiene varios archivos que tienen nombres aleatorios como HELP_DECRYPT y HELP_Recover. Estos archivos se pueden abrir y contienen instrucciones para pagar el rescate.
- Se cambia el nombre de los archivos o se anexa una extensión de nombre de archivo.
Cómo puede ayudar Microsoft
Si usted está afectado por ransomware, pruebe los siguientes métodos:
Detenga inmediatamente Sincronización de OneDrive o desconecte la unidad asignada a una biblioteca de SharePoint.
Pida al administrador de la empresa (o usuario afectado) que intente restaurar los archivos mediante el procedimiento adecuado:
- SharePoint: vea Restaurar una biblioteca de documentos
- OneDrive: consulte Restaurar una biblioteca de OneDrive
Los clientes también pueden usar copia de seguridad de Microsoft 365 para la recuperación de datos. La copia de seguridad de Microsoft 365 ofrece un tiempo de protección más largo y proporciona una recuperación rápida de escenarios comunes de continuidad empresarial y recuperación ante desastres (BCDR), como ransomware o contenido de empleado accidental o malintencionado sobrescribir o eliminar. Las protecciones de escenarios bcDR adicionales también se integran directamente en el servicio para proporcionar un nivel mejorado de protección de datos.
Nota:
SharePoint conserva las copias de seguridad de todo el contenido durante 14 días adicionales más allá de la eliminación real. Si no se puede restaurar el contenido, un administrador puede ponerse en contacto con Soporte técnico de Microsoft para solicitar una restauración en cualquier momento dentro de la ventana de 14 días. Asegúrese de anotar los detalles siguientes:
- ¿Qué direcciones URL de colección de sitios han sido afectadas por ransomware?
- ¿Cuándo fue la última vez que los archivos no fueron modificados por el ransomware?
¿Necesita ayuda?
Para obtener más información sobre ransomware, consulta ¿Qué es ransomware?
¿Aún necesita ayuda? Visite Comunidad de SharePoint.