Gestion des ransomware dans Sharepoint Online

Résumé

Le ransomware est un programme malveillant qui bloque l’accès à différents éléments sur votre ordinateur et vous demande une rançon afin que le créateur libère le verrou qu’il a imposé. Une fois la rançon payée, le créateur du ransomware fournira probablement les informations nécessaires pour y retrouver l’accès.

Plus d’informations

Comment fonctionne-t-il avec SharePoint Online ou OneDrive Entreprise ?

Le ransomware est un exécutable exécuté localement sur l’ordinateur d’un utilisateur. Le ransomware examiné par Microsoft qui affecte SharePoint Online ou OneDrive Entreprise manipule des fichiers individuels sur l’ordinateur local de l’utilisateur au moyen d’une connexion OneDrive Entreprise ou d’un lecteur mappé dans une bibliothèque SharePoint Online.

Une fois le ransomware placé, les fichiers infectés sont ensuite synchronisés avec l’environnement en ligne par l’outil client de synchronisation ou par diverses méthodes Web DAV. Diverses manipulations des fichiers incluent (sans s’y limiter) :

  • Chiffrement de clé publique/privée.
  • En attente d’une extension inconnue au nom de fichier.
  • Suppression de fichiers existants.

En outre, de nombreux nouveaux fichiers sont ajoutés à chaque répertoire qui créent des instructions d’affichage concernant les personnes devant payer la rançon.

Comment puis-je confirmer que les éléments d’une bibliothèque sont réellement mis en rançon ?

Les signes suivants indiquent qu’une bibliothèque SharePoint Online a été infectée par un ransomware :

  • La plupart des fichiers de la bibliothèque ont le même timestamp Modified By.
  • L’ouverture des fichiers échoue avec un message indiquant qu’ils sont potentiellement endommagés.
  • Chaque répertoire de la bibliothèque contient plusieurs fichiers nommés HELP_DECRYPT, **HELP_Recover ou des noms aléatoires similaires. Les fichiers peuvent être ouverts et contenir des instructions pour payer la rançon.
  • Les fichiers ont été renommés ou ont une extension à la fin.

Comment Microsoft peut-il vous aider ?

Si vous êtes affecté par un ransomware, essayez ce qui suit :

Notes

SharePoint Online conserve les sauvegardes de tout le contenu pendant 14 jours supplémentaires au-delà de la suppression réelle. Si le contenu ne peut pas être restauré,un administrateur peut contacter le Support Microsoft pour demander une restauration à tout moment dans la fenêtre de 14 jours. N’oubliez pas de noter les détails suivants :

  • Quelles URL de collection de sites ont été affectées par un ransomware ?
  • Quand les fichiers n’ont-ils pas été modifiés par le ransomware pour la dernière fois ?

Besoin d’aide supplémentaire ?

Pour plus d’informations sur les ransomware, consultez l’article de support sur la rançon.

Encore besoin d’aide ? Accédez au site de la Communauté SharePoint.