Ransomware atacou sua empresa? Aja agora, na ordem certa

Primeiros passos — o que fazer agora

1. 1

   Isole as maquinas, sem desligar

   Desconecte os equipamentos infectados da rede: remova o cabo, desative o Wi-Fi e bloqueie acesso a pastas compartilhadas, NAS e nuvem. Nao desligue nem reinicie: a memoria RAM contem chaves e indicios que somem ao reiniciar.

2. 2

   Proteja os backups antes que o ransomware os alcance

   Desconecte fisica ou logicamente os backups da rede imediatamente. Muitos ransomwares procuram e criptografam backups online primeiro. Se houver copia imutavel ou offline, nao a conecte ainda a um ambiente possivelmente comprometido.

3. 3

   Nao pague o resgate por impulso

   O pagamento nao garante a devolucao dos dados, financia o crime organizado e pode expor a empresa a responsabilizacao. Ha casos de decryptors defeituosos e de nova extorsao apos o pagamento. Decida com apoio forense e juridico, nunca sozinho e sob panico.

4. 4

   Preserve a nota de resgate e amostras

   Fotografe a tela com a nota de resgate e guarde o arquivo da nota e alguns arquivos criptografados de exemplo em midia separada. Esses artefatos permitem identificar a variante em servicos como ID Ransomware e No More Ransom e avaliar se existe decryptor publico.

5. 5

   Acione a Resposta a Incidentes 24/7 da Decripte

   Pelo /contato, abra um chamado de incidente ativo. O SOC entra com contencao em ate 1 hora, orienta a preservacao de evidencias e conduz a forense para evitar que voce queime provas ou destrua a unica chance de recuperar dados.

6. 6

   Mapeie o alcance e cheque exfiltracao

   Identifique quais servidores, estacoes e contas foram tocados e verifique sinais de exfiltracao (trafego de saida anomalo, ferramentas de compactacao, mencao a vazamento na nota). Dupla extorsao significa que seus dados podem ter sido roubados antes de criptografados.

7. 7

   Avalie as obrigacoes legais de notificacao

   Se houver dados pessoais afetados, a notificacao a ANPD deve ocorrer em ate 3 dias uteis a partir da ciencia (Resolucao CD/ANPD no 15/2024), alem da comunicacao aos titulares. Se houver fraude via Pix, comunique o banco de imediato (MED) e registre boletim de ocorrencia. Documente horarios e acoes desde o primeiro sinal.

8. 8

   So restaure depois da erradicacao

   Restaurar de backup em uma rede ainda comprometida reinfecta tudo. Erradicar o acesso do atacante, trocar credenciais e validar a integridade do backup vem antes de religar sistemas. Restaure a partir de copia imutavel ou offline seguindo a regra 3-2-1.

Os primeiros 60 minutos: contencao sem destruir evidencias

O instinto de desligar ou formatar a maquina e exatamente o que mais prejudica a recuperacao. A prioridade real e conter a propagacao isolando os equipamentos da rede, sem perder o estado da maquina. Remova o cabo de rede, desative o Wi-Fi e segregue a VLAN afetada, mantendo os equipamentos ligados. A memoria RAM pode conter chaves de criptografia, processos do ransomware e indicadores que a forense usa para entender o ataque e, em alguns casos, ate recuperar dados sem pagar.

Em paralelo, proteja imediatamente os backups, porque o ransomware moderno os procura ativamente. Desconecte os destinos de backup da rede e nao monte volumes de backup em maquinas suspeitas. Esse e o momento de acionar a Resposta a Incidentes 24/7 da Decripte pelo /contato: o SOC assume a contencao com SLA de ate 1 hora e orienta cada passo para que a empresa nao queime, sem querer, a sua melhor chance de recuperacao.

Por que nao pagar o resgate (e as nuances reais)

Pagar nao compra certeza. Em muitos casos o decryptor entregue e lento, incompleto ou simplesmente nao funciona, e ha registros de vitimas que pagaram e foram extorquidas novamente. Cada pagamento tambem financia diretamente o crime organizado e fortalece o modelo de negocio do ransomware-as-a-service, alimentando os proximos ataques. Dependendo de quem esta por tras da operacao, o pagamento pode ainda expor a empresa a riscos legais e de sancao.

Isso nao significa ignorar a pressao do prazo que os criminosos impoem. Significa transformar uma decisao de panico em uma decisao informada: identificar a variante, verificar se ha decryptor publico e gratuito, avaliar a saude dos backups e medir o impacto real antes de cogitar qualquer negociacao. Essa avaliacao deve ser feita com apoio forense e juridico, e e justamente o que a equipe de Resposta a Incidentes conduz ao seu lado, sem que voce precise enfrentar os atacantes sozinho.

Identificar a variante e procurar um decryptor

Nem todo ransomware e irreversivel. Algumas familias tem falhas conhecidas ou tiveram suas chaves recuperadas por forcas-tarefa, e para elas existem decryptors publicos e gratuitos. Para descobrir, e preciso identificar a variante, e e por isso que a nota de resgate e amostras de arquivos criptografados sao tao valiosas. Servicos como o ID Ransomware ajudam a reconhecer a familia a partir desses artefatos, e o projeto No More Ransom reune ferramentas de decifragem mantidas por autoridades e empresas de seguranca.

Por isso a preservacao vem antes de qualquer tentativa de limpeza. Fotografe a nota, guarde o arquivo da nota e um conjunto de arquivos criptografados de exemplo em midia separada e segura. Mesmo quando nao existe decryptor disponivel hoje, manter as amostras intactas deixa a porta aberta: chaves e ferramentas para variantes especificas costumam surgir meses depois. Formatar ou reinstalar destroi essa possibilidade para sempre.

Exfiltracao, dupla extorsao e suas obrigacoes legais

Ransomware deixou de ser apenas sobre criptografia. Na dupla extorsao, o atacante rouba os dados antes de criptografar e ameaca vazar informacoes de clientes, contratos e dados pessoais caso a empresa nao pague. Por isso a analise precisa checar sinais de exfiltracao: trafego de saida anomalo, uso de ferramentas de compactacao e transferencia, e mencoes explicitas a vazamento na nota de resgate. Tratar o caso so como problema de backup pode esconder um vazamento de dados em andamento.

Quando ha dados pessoais envolvidos, surgem deveres legais com prazo curto. No Brasil, a notificacao do incidente a ANPD deve ocorrer em ate 3 dias uteis contados da ciencia, conforme a Resolucao CD/ANPD no 15/2024, alem da comunicacao aos titulares afetados. Se o ataque vier acompanhado de fraude via Pix, o contato imediato com o banco para acionar o MED e o registro de boletim de ocorrencia tambem entram na linha do tempo. A Decripte apoia tanto a forense quanto a estruturacao dessa notificacao, para que a resposta tecnica e a juridica andem juntas.

Erradicar e recuperar com seguranca, na ordem certa

Religar sistemas cedo demais e a forma mais comum de ser atacado duas vezes na mesma semana. Restaurar um backup em uma rede onde o atacante ainda tem acesso, com contas comprometidas ainda validas e a porta de entrada ainda aberta, significa apenas dar a ele novos arquivos para criptografar. A erradicacao vem primeiro: identificar e fechar o vetor inicial, remover persistencia, trocar todas as credenciais e invalidar sessoes e tokens.

So entao vem a recuperacao, idealmente a partir de copia imutavel ou offline, seguindo a regra 3-2-1 (tres copias dos dados, em dois tipos de midia, com uma copia fora do ambiente). Restaure por etapas, validando a integridade e monitorando reinfeccao, e priorize os sistemas mais criticos para o negocio. Depois de tudo estabilizado, vem as licoes aprendidas: fechar as lacunas que permitiram a invasao, melhorar a deteccao e testar os backups. Esse ciclo completo, da contencao a prevencao, e o que a Decripte opera 24x7 para empresas de todos os tamanhos.

Depois do fogo controlado: descubra o que ainda esta exposto

Quase todo ataque de ransomware comeca com algo que ja estava exposto: uma credencial vazada, um acesso remoto aberto, um dominio sendo usado em phishing. Apos a recuperacao, o trabalho mais valioso e enxergar essa superficie de risco antes que o proximo atacante a use. Por isso a Decripte oferece um plano gratuito de Gestao de Ameacas, o Decripte Intelligence Center, que monitora vazamento de credenciais, exposicao na dark web e reputacao do seu dominio.

E um ponto de partida sem cartao de credito e sem necessidade de equipe tecnica, disponivel em https://decripte.io/free, que ajuda a transformar o incidente em um plano de prevencao concreto. Para quem precisa de cobertura continua, os planos pagos somam SOC 24x7, Resposta a Incidentes, Pentest, Gestao de Vulnerabilidades e Conformidade (LGPD e ISO 27001). O objetivo e simples: que a proxima ligacao para a Decripte seja para prevenir, e nao para apagar incendio.

Termos importantes

Ransomware

Software malicioso que criptografa os arquivos e sistemas da vitima e exige pagamento de resgate para liberar o acesso. Versoes modernas tambem roubam dados antes de criptografar.

Dupla extorsao

Tatica em que o atacante exfiltra (rouba) os dados antes de criptografa-los e ameaca vaza-los publicamente caso o resgate nao seja pago, somando chantagem de vazamento a indisponibilidade.

Decryptor

Ferramenta capaz de reverter a criptografia de uma variante especifica de ransomware. Para algumas familias existem decryptors publicos e gratuitos, como os reunidos pelo projeto No More Ransom.

Backup imutavel

Copia de seguranca que nao pode ser alterada ou apagada durante um periodo definido, mesmo por administradores ou malware, o que a protege da criptografia do ransomware.

Regra 3-2-1

Boa pratica de backup: manter ao menos tres copias dos dados, em dois tipos diferentes de midia, com pelo menos uma copia armazenada fora do ambiente (offline ou em outro local).

MED (Mecanismo Especial de Devolucao)

Ferramenta do Pix que permite a uma instituicao financeira tentar bloquear e devolver valores em casos de fraude ou falha operacional. A janela para acionar e curta, por isso o contato com o banco deve ser imediato.

Perguntas frequentes