Återställa från en utpressningstrojanattack i Microsoft 365

Gäller för

Även om du vidtar alla försiktighetsåtgärder för att skydda din organisation kan du fortfarande falla offer för en utpressningstrojanattack . Utpressningstrojaner är stora företag, och i dagens hotlandskap är Microsoft 365 ett ständigt ökande mål för sofistikerade attacker.

Stegen i den här artikeln ger dig den bästa chansen att återställa data och stoppa den interna spridningen av infektion. Innan du börjar bör du tänka på följande:

  • Det finns ingen garanti för att betalning av lösensumman kommer att returnera åtkomst till dina filer. Faktum är att betala lösensumman kan göra dig till ett mål för mer utpressningstrojaner.

    Om du redan har betalat, men du har återställt utan att använda angriparens lösning, kontaktar du din bank för att se om de kan blockera transaktionen.

    Vi rekommenderar också att du rapporterar utpressningstrojanattack till brottsbekämpande myndigheter, webbplatser för bedrägerirapportering och Microsoft enligt beskrivningen senare i den här artikeln.

  • Det är viktigt för dig att snabbt reagera på attacken och dess konsekvenser. Ju längre du väntar, desto mindre troligt är det att du kan återställa berörda data.

Steg 1: Verifiera dina säkerhetskopior

Om du har offlinesäkerhetskopior kan du förmodligen återställa krypterade data när du har tagit bort nyttolasten för utpressningstrojaner (skadlig kod) från din miljö och när du har kontrollerat att det inte finns någon obehörig åtkomst i dina Microsoft 365-miljöer.

Om du inte har säkerhetskopior, eller om dina säkerhetskopior också påverkades av utpressningstrojaner, kan du hoppa över det här steget.

Steg 2: Inaktivera Exchange ActiveSync och OneDrive-synkronisering

Den viktigaste punkten här är att stoppa spridningen av datakryptering med utpressningstrojaner.

Om du misstänker att e-post är ett mål för kryptering av utpressningstrojaner inaktiverar du tillfälligt användaråtkomst till postlådor. Exchange ActiveSync synkroniserar data mellan enheter och Exchange Online postlådor.

Information om hur du inaktiverar Exchange ActiveSync för en postlåda finns i Inaktivera Exchange ActiveSync för användare i Exchange Online.

Information om hur du inaktiverar andra typer av åtkomst till en postlåda finns i:

Om du pausar OneDrive-synkronisering skyddar du dina molndata från att uppdateras av potentiellt infekterade enheter. Mer information finns i Så här pausar och återupptar du synkroniseringen i OneDrive.

Steg 3: Ta bort skadlig kod från de berörda enheterna

Kör en fullständig, aktuell antivirusgenomsökning på alla misstänkta datorer och enheter för att identifiera och ta bort nyttolasten som är associerad med utpressningstrojaner.

Glöm inte att skanna enheter som synkroniserar data eller mål för mappade nätverksenheter.

Du kan använda Windows Defender eller (för äldre klienter) Microsoft Security Essentials.

Ett alternativ som också hjälper dig att ta bort utpressningstrojaner eller skadlig kod är verktyget för borttagning av skadlig programvara (MSRT).

Om de här alternativen inte fungerar kan du prova Windows Defender offline eller felsöka problem med att identifiera och ta bort skadlig kod.

Steg 4: Återställa filer på en rensad dator eller enhet

När du har slutfört föregående steg för att ta bort nyttolasten för utpressningstrojaner från din miljö (vilket förhindrar att utpressningstrojaner krypterar eller tar bort dina filer) kan du använda Filhistorik i Windows 11, Windows 10, Windows 8.1 och genom att använda System Protection i Windows 7 för att försöka återställa dina lokala filer och mappar.

Anmärkningar:

  • Vissa utpressningstrojaner krypterar eller tar bort säkerhetskopieringsversionerna, så du kan inte använda filhistorik eller systemskydd för att återställa filer. Om det händer behöver du använda säkerhetskopior på externa enheter eller enheter som inte påverkades av utpressningstrojaner eller OneDrive enligt beskrivningen i nästa avsnitt.

  • Om en mapp synkroniseras till OneDrive och du inte använder den senaste versionen av Windows kan det finnas vissa begränsningar med hjälp av filhistorik.

Steg 5: Återställa dina filer i OneDrive för företag

Med Återställning av filer i OneDrive för företag kan du återställa hela OneDrive till en tidigare tidpunkt under de senaste 30 dagarna. Mer information finns i Återställ din OneDrive.

Steg 6: Återställa borttagen e-post

I det sällsynta fallet att utpressningstrojanen har tagit bort all e-post kan du förmodligen återställa de borttagna objekten. Mer information finns i:

Steg 7: Återaktivera Exchange ActiveSync och OneDrive-synkronisering

När du har rensat dina datorer och enheter och återställt dina data kan du återaktivera Exchange ActiveSync och OneDrive-synkronisering som du tidigare inaktiverade i steg 2.

Steg 8 (valfritt): Blockera OneDrive-synkronisering för specifika filnamnstillägg

När du har återställt kan du förhindra OneDrive för företag klienter från att synkronisera de filtyper som påverkades av den här utpressningstrojanen. Mer information finns i Set-SPOTenantSyncClientRestriction

Rapportera attacken

Kontakta polisen

Du bör kontakta dina lokala eller federala brottsbekämpande myndigheter. Om du till exempel är i USA kan du kontakta FBI:s lokala fältkontor, IC3 eller Secret Service.

Skicka en rapport till ditt lands webbplats för bedrägerirapportering

Scam rapportering webbplatser ger information om hur man förhindrar och undviker bedrägerier. De ger också mekanismer för att rapportera om du var offer för bedrägeri.

Om ditt land inte finns med i listan kan du fråga dina lokala eller federala brottsbekämpande myndigheter.

Skicka e-postmeddelanden till Microsoft

Du kan rapportera nätfiskemeddelanden som innehåller utpressningstrojaner med någon av flera metoder. Mer informations finns i Anmäla meddelanden och filer till Microsoft.

Ytterligare resurser för utpressningstrojaner

Viktig information från Microsoft:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Defender for Cloud Apps:

Blogginlägg för Microsoft Security-teamet: