Ransomware herstel met Google Vault en Drive Versies
Hoe herstel je Google Drive na een ransomware-aanval? Van versiegeschiedenis en bulk-herstel via Admin Console tot Vault en preventieve maatregelen zoals OAuth-beperking.
Ransomware is een reele dreiging voor elke organisatie. Als bestanden in Google Drive worden geencrypteerd of massaal worden gewijzigd, heb je als Workspace-beheerder meerdere tools om data te herstellen. Dit artikel legt uit welke opties je hebt en hoe je ze inzet.
Hoe ransomware Drive kan treffen
Ransomware kan Drive op twee manieren bereiken:
- Via Drive voor desktop (sync): Ransomware op een lokale computer versleutelt bestanden die via Drive voor desktop worden gesynchroniseerd naar Google Drive
- Via OAuth-app: Een kwaadaardige app met Drive-schrijftoegang past bestanden aan
In beide gevallen worden de gewijzigde bestanden gesynchroniseerd naar Drive en zijn de originelen overschreven.
Optie 1: Versiegeschiedenis in Drive
Elk Google-bestand (Docs, Sheets, Slides) bewaart een volledige versiegeschiedenis:
Open het bestand in Google Docs
Bestand > Versiegeschiedenis > Versiegeschiedenis bekijken
Klik op een eerdere versie
Klik op "Deze versie herstellen"
Niet-Google-bestanden (PDF, Word, Excel) die zijn geupload, bewaren ook versies:
Drive > rechtsklik op bestand > Versies beheren
Selecteer een eerdere versie > Herstellen
Tip: Drive bewaart versies van niet-Google-bestanden voor 30 dagen of 100 versies, afhankelijk van wat het eerste bereikt wordt. Na een ransomware-aanval handel je dus snel.
Optie 2: Bulk herstel via Admin Console
Als honderden bestanden zijn aangetast, gebruik je de bulk-hersteloptie:
Admin Console > Gebruikers > selecteer de getroffen gebruiker
Gegevens herstellen
Periode: Selecteer de datum voor de aanval
Type: Drive
Dit zet Drive terug naar de staat van de geselecteerde datum.
Optie 3: Herstel via Google Vault
Als er een retentiebeleid of Hold actief is, kun je bestanden herstellen via Vault:
vault.google.com > Nieuw zaakdossier
Zoeken > Drive > Tijdsbereik: voor de aanval
Exporteren > Download de bestanden
Optie 4: Shared Drive-herstel
Voor Shared Drives:
Admin Console > Apps > Google Workspace > Drive en Docs > Shared Drives
Selecteer de Shared Drive > Gegevens herstellen
Preventieve maatregelen
Drive voor desktop versiebeheer:
Drive voor desktop-instellingen > Bandbreedtebeheer
Synchronisatie beperken tot goedgekeurde mappen
OAuth-app toegang beperken:
Admin Console > Beveiliging > API-besturing
Alleen goedgekeurde apps toestaan
Alert instellen voor massale Drive-wijzigingen:
Admin Console > Beveiliging > Alert Center > Instellingen
Massamutatie van Drive-bestanden: Aan (e-mailmelding)