Återställ från en utpressningstrojanattack i Microsoft 365
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Även om du vidtar alla försiktighetsåtgärd för att skydda organisationen kan du fortfarande falla offer för en utpressningstrojanattack. Utpressningstrojaner är en stor verksamhet och i dagens hotmiljö är Microsoft 365 ett ständigt växande mål för avancerade attacker.
Med stegen i den här artikeln får du bäst chans att återställa data och stoppa den interna spridningen av smitta. Innan du börjar bör du tänka på följande:
Det finns ingen garanti för att betalning av utpressningstrojanen returnerar åtkomsten till dina filer. Att betala utpressningstrojanen kan faktiskt göra dig till ett mål för mer utpressningstrojaner.
Om du redan har betalat men du har återskapat utan att använda attackerarens lösning kontaktar du din bank för att se om de kan blockera transaktionen.
Vi rekommenderar även att du rapporterar utpressningstrojanattacken till olika webbplatser för utpressningstrojaner, bedrägerirapportering och Microsoft enligt beskrivningen senare i den här artikeln.
Det är viktigt att du svarar snabbt på attacken och dess konsekvenser. Ju längre du väntar, desto mindre troligt är det att du kan återskapa berörda data.
Steg 1: Kontrollera dina säkerhetskopior
Om du har säkerhetskopieringar offline kan du antagligen återställa krypterade data efter att du har tagit bort nyttolasten för utpressningstrojan (skadlig kod) från miljön och efter att du har kontrollerat att det inte finns någon obehörig åtkomst i dina Microsoft 365 miljöer.
Om du inte har några säkerhetskopior, eller om dina säkerhetskopior också påverkades av utpressningstrojanen, kan du hoppa över det här steget.
Steg 2: Inaktivera Exchange ActiveSync och OneDrive-synkronisering
Det viktiga här är att stoppa uppslaget av datakryptering genom utpressningstrojanen.
Om du misstänker att e-postmeddelanden är målet för utpressningstrojankryptering inaktiverar du tillfälligt användarnas åtkomst till postlådor. Exchange ActiveSync synkroniserar data mellan enheter och Exchange Online postlådor.
Information om Exchange ActiveSync för en postlåda finns i Inaktivera Exchange ActiveSync för användare i Exchange Online.
Information om hur du inaktiverar andra typer av åtkomst till en postlåda finns i:
Om du pausar OneDrive-synkronisering enheter skyddas dina molndata från att uppdateras av potentiellt smittade enheter. Mer information finns i Pausa och återuppta synkronisering i OneDrive.
Steg 3: Ta bort den skadlig programvara från de berörda enheterna
Kör en fullständig, aktuell antivirussökning på alla misstänkta datorer och enheter för att identifiera och ta bort den nyttolast som är kopplad till utpressningstrojanen.
Glöm inte att skanna enheter som synkroniserar data eller mål för mappade nätverksenheter.
Du kan använda Windows Defender eller (för äldre klienter) Microsoft Security Essentials.
Ett alternativ som också hjälper dig att ta bort utpressningstrojaner eller skadlig programvara är verktyget För borttagning av skadlig programvara (MSRT).
Om de här alternativen inte fungerar kan du prova att Windows Defender Offline eller Felsöka problem med att identifiera och ta bort skadlig programvara.
Steg 4: Återställa filer på en rensad dator eller enhet
När du har slutfört det föregående steget för att ta bort nyttolasten för utpressningstrojaner från miljön (vilket förhindrar utpressningstrojaner från att kryptera eller ta bort filer) kan du använda Filhistorik i Windows 11, Windows 10, Windows 8.1 och genom att använda Systemskydd i Windows 7 för att försöka återställa dina lokala filer och mappar.
Anmärkningar:
En del utpressningstrojaner krypterar eller tar bort säkerhetskopiorna, så du kan inte använda Filhistorik eller Systemskydd för att återställa filer. Om det händer behöver du använda säkerhetskopior på externa enheter eller enheter som inte påverkades av utpressningstrojanen eller OneDrive enligt beskrivningen i nästa avsnitt.
Om en mapp är synkroniserad OneDrive mapp och du inte använder den senaste versionen av Windows kan det finnas vissa begränsningar i Filhistorik.
Steg 5: Återskapa dina filer i OneDrive för företag
Med Filåterställning OneDrive för företag du återställa hela OneDrive till en föregående tidpunkt under de senaste 30 dagarna. Mer information finns i Återställ din OneDrive.
Steg 6: Återskapa borttagna e-postmeddelanden
I de sällsynta fall som utpressningstrojanen tog bort alla dina e-postmeddelanden kan du antagligen återställa de borttagna objekten. Mer information finns i:
Steg 7: Återaktivera Exchange ActiveSync och OneDrive-synkronisering
När du har rensat dina datorer och enheter och återställt dina data kan du återaktivera Exchange ActiveSync och OneDrive-synkronisering som du tidigare inaktiverade i steg 2.
Steg 8 (valfritt): Blockera OneDrive-synkronisering för specifika filnamnstillägg
När du har återställt kan du förhindra att OneDrive för företag-klienter synkroniserar filtyperna som påverkades av den här utpressningstrojanen. Mer information finns i Set-SPOTenantSyncClientRestriction
Rapportera attacken
Kontaktperson vid rättsendning
Kontakta dina lokala eller federala rättsbyråer. Om du befinner dig i USA kan du exempelvis kontakta det lokala fältet AVSE, IC3 eller Hemlig tjänst.
Skicka en rapport till ditt lands webbplats för bedrägerirapportering
På webbplatserna för bedrägerirapportering finns information om hur du kan förhindra och undvika bedrägerier. De har även mekanismer för att rapportera om du var offer för bedrägeri.
Australien: SCAMwatch
Kanada: Canadian Anti-Fraud Centre
Frankrike: Agence nationale de la sécurité des systèmes d'information
Tyskland: Det första talet i tysklandet für Sicherheit in der Informationstechnik
Irland: An Mádo Síochána
Nya Zeeland: Consumer Affairs Scams
Switzerland Nationales Zentrum für Cybersicherheit NCSC
Storbritannien: Åtgärdsbedrägerier
USA: On Guard Online
Om ditt land inte finns med i listan kan du fråga ditt lokala eller federala myndigheter.
Skicka e-postmeddelanden till Microsoft
Du kan rapportera nätfiskemeddelanden som innehåller utpressningstrojaner på flera olika sätt. Mer informations finns i Anmäla meddelanden och filer till Microsoft.
Ytterligare resurser för utpressningstrojaner
Viktig information från Microsoft:
- Det växande hotet om utpressningstrojaner– Microsoft On the Issues-blogginlägget den 20 juli 2021
- Utpressningstrojaner som drivs av människor
- Skydda snabbt mot utpressningstrojaner och utpressning
- 2021 Microsoft Digital Defense Report (se sidorna 10–19)
- Utpressningstrojan: Ett genomgripande och pågående hot hotanalysrapport i Microsoft 365 Defender-portalen
Microsoft 365:
- Distribuera skydd mot utpressningstrojan för Microsoft 365 klientorganisation
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Skydd mot skadlig kod och utpressningstrojan
- Skydda din Windows dator från utpressningstrojaner
- Hantera utpressningstrojaner i SharePoint Online
- Hotanalysrapporter för utpressningstrojaner i Microsoft 365 Defender-portalen
Microsoft 365 Defender:
Microsoft Azure:
- Azure Defenses för attacker med utpressningstrojan
- Maximera återhämtning av utpressningstrojaner med Azure och Microsoft 365
- Plan för säkerhetskopiering och återställning för att skydda mot utpressningstrojaner
- Skydda mot utpressningstrojaner med Microsoft Azure (26-minutersvideo)
- Återställa från identitetskompromettering
- Avancerad identifiering av flerstegsattack i Azure Sentinel
- Fusionsidentifiering av utpressningstrojaner i Azure Sentinel
Microsoft Cloud App Security:
Blogginlägg för Microsoft Security-teamet:
3 steg för att förhindra och återhämta från utpressningstrojaner (september 2021)
En guide för att bekämpa utpressningstrojaner: Del 1 (september 2021)
Viktiga steg för hur Microsofts team för identifiering och svar (TIDELAG) genomför utpressningstrojaner vid incidentundersökningar.
En guide för att bekämpa utpressningstrojaner: Del 2 (september 2021)
Rekommendationer metodtips och metodtips.
-
Se avsnittet Utpressningstrojaner.
Attacker med utpressningstrojan som drivs av människor: En katastrof som kan förhindras (mars 2020)
Innehåller attack kedjeanalyser av de faktiska attackerna.
Svar på utpressningstrojaner – att betala eller inte betala? (december 2019)
Norsk Hydro svarar på utpressningstrojaner med transparens (december 2019)