Ransomware é malware que bloqueia seus dados criptografando-os, tornando-os inacessíveis até você pagar um resgate (ransom em inglês) aos criminosos. Em 2026, ransomware é o tipo de ataque mais lucrativo para criminosos cibernéticos, com vítimas pagando em média R$ 500 mil a R$ 2 milhões em resgate. Empresas brasileiras perderam aproximadamente R$ 5 bilhões com ransomware em 2025, e o número cresce 30% ao ano.

Este guia explica como ransomware funciona, como você é infectado, como se proteger (incluindo a regra 3-2-1 de backup que é sua melhor defesa), e o que fazer se sua empresa for atacada. Você aprenderá que pagar resgate não é solução e que investimento em prevenção é investimento em sobrevivência.

Ransomware em 30 segundos (resumo rápido)

  • O Que É: Malware que criptografa dados, bloqueando acesso até pagamento de resgate
  • Impacto Brasil 2025: R$ 5 bilhões em prejuízos, crescimento 30% ao ano
  • Resgate Médio: R$ 500 mil a R$ 2 milhões por empresa
  • Vetores Principais: Email phishing (69%), RDP exposto na internet (15%), vulnerabilidades não-patchadas (10%), software pirata (6%)
  • Melhor Defesa: Backup 3-2-1 (3 cópias, 2 mídias diferentes, 1 offline) + MFA + patching periódico
  • Taxa de Sucesso Ataque: 1 em 5 empresas pequenas são infectadas sem backup adequado

O Que É Ransomware: Funcionamento Técnico

Ransomware é programa malicioso que executa em seu computador/servidor e realiza criptografia. A criptografia é matemática pura: dados originais (legíveis) são transformados em incompreensível usando chave criptográfica. Sem a chave correta, é praticamente impossível descriptografar (levaria milhares de anos em computador convencional).

Criminosos usam chave criptográfica assimétrica (RSA 2048 bits), que funciona assim: têm dois números gigantes (uma chave pública e outra privada). O ransomware usa chave pública (que você não tem) para criptografar. Só chave privada (que apenas criminoso tem) pode descriptografar. Por isso não adianta tentar adivinhar ou quebrar: é matematicamente impossível sem a chave privada.

Ciclo Típico de Ataque Ransomware:
1) Acesso inicial (phishing, RDP exposto, vulnerabilidade);
2) Lateral movement (explorador se move pela rede);
3) Reconnaissance (identifica dados valiosos);
4) Implantação (criptografa dados);
5) Demanda (mostra mensagem de ransom com instruções de pagamento)

Como Você é Infectado: Vetores de Ataque

1. Email Phishing (69% dos ataques)

Email falso que parece legítimo, com anexo malicioso ou link para site falso que coleta credenciais. Exemplo: “Seu boleto vencido – clique aqui” com anexo Word que executa macro maliciosa. Quando você abre, ransomware é baixado e instalado. Defesa: MFA, treinamento anti-phishing, sandbox para executar arquivos suspeitos.

2. RDP Exposto na Internet (15% dos ataques)

RDP (Remote Desktop Protocol) é ferramenta de suporte remoto do Windows. Se exposto na internet com senha fraca, criminosos fazem força bruta até conseguir acesso. Uma vez dentro, instalam ransomware. Muitas PMEs deixam RDP aberto por conveniência. Defesa: firewall bloqueando RDP da internet, VPN para acesso remoto, MFA no RDP, mudança de porta padrão 3389.

3. Vulnerabilidades Não-Patchadas (10% dos ataques)

Software desatualizado com falhas de segurança exploradas. Exemplo: navegador 3 versões atrás com vulnerability zero-day descoberta. Criminoso compra exploit no mercado negro, ataca todos os sistemas vulneráveis. Defesa: atualizações automáticas, scanning de vulnerabilidades, patching em janela mensal.

4. Software Pirata (6% dos ataques)

Usar software crack ou torrent é correr risco altíssimo. Arquivo “crackeado” geralmente tem ransomware ou spyware embutido. Adicione fato de que software pirata não recebe patches de segurança, você está super vulnerável. Defesa: usar alternativas open source gratuitas (LibreOffice em vez de Office pirata, GIMP em vez de Photoshop pirata).

5. Vulnerabilidades Supply Chain (Menos Comum mas Crescente)

Fornecedor de software/serviço é hackeado, e malware é distribuído para todos seus clientes. Exemplo 2020: SolarWinds foi hackeado, distribuindo malware para 18 mil clientes (incluindo agências governamentais). Defesa: auditar fornecedores críticos, segmentação de rede, monitoramento de comportamento anormal.

Ciclo de Vida do Ransomware: O Que Acontece Passo a Passo

Fase 1: Infiltração (Horas)

Criminoso obtém acesso inicial via phishing, força bruta em RDP, ou exploração de vulnerabilidade. Nesta fase você ainda não sabe que foi hackeado. Antivírus pode não detectar se o malware é novo (zero-day) ou bem ofuscado. Uma vez dentro, ator começa reconhecimento.

Fase 2: Lateral Movement (Dias)

Uma vez em um computador, criminoso explora vulnerabilidades ou rouba credenciais para se mover pela rede em direção a dados valiosos (servidor de arquivos, banco de dados). Usa ferramentas como Mimikatz (roubo de senha) ou Bloodhound (mapeamento de rede) para entender ambiente. Este é momento crítico: você ainda pode detectar com monitoramento.

Fase 3: Reconnaissance (Dias a Semanas)

Criminoso identifica: onde estão dados mais valiosos, quantos computadores/servidores existem, quando é fim de semana (menos monitoramento), qual é o tamanho típico de resgate para empresa daquele tamanho. Talvez também rouba dados para extorsão dupla (“pagueou publicamos dados online”).

Fase 4: Implantação (Horas)

Criminoso executa ransomware simultaneamente em múltiplos servidores/computadores para bloquear tudo de uma vez. Antes disso, frequentemente desabilita backups ou ferramentas antivírus. Se você tem segmentação de rede, confinado a um segmento. Se não tem, espalhase por toda rede. Aqui você descobre que foi hackeado quando vê mensagens de erro “seus arquivos foram criptografados”.

Fase 5: Demanda (Após Criptografia)

Tela ou arquivo é exibido com mensagem: “Seus dados foram encriptados. Para recuperar, transfira X criptomoeda para endereço Y em Z dias ou dados serão publicados.” Geralmente dão período de 5-7 dias com disconto, criando urgência. Chat de “suporte” falso oferece “prova” que realmente criptografou (descriptografa um arquivo pequeno gratuitamente).

Aviso Crítico: Pagar resgate NÃO garante descriptografia. 30% das vítimas que pagam ainda não recebem a chave. Além disso, financiar criminosos incentiva mais ataques. Autoridades (FBI, CERT-BR) recomendam formalmente NÃO pagar.

Estratégia de Prevenção: 3-2-1 Backup e Mais

A Regra 3-2-1: Sua Melhor Defesa Contra Ransomware

Se há uma coisa que definitivamente protege contra ransomware, é backup feito corretamente. A regra 3-2-1 significa:

  • 3: Mantenha 3 cópias de dados críticos (original + 2 backups)
  • 2: Em 2 tipos de mídia diferentes (ex: SSD local + fita magnética)
  • 1: Com 1 cópia completamente offline (desconectada da rede, em cofre)

Por quê offline é crítico? Ransomware que criptografa servidor também tenta acessar backup automaticamente. Se backup estiver em rede compartilhada (RAID, NAS sem isolamento), malware criptografa backup também. Offline (ar-gapped) significa criminoso não consegue alcançar.

Exemplo implementação: servidor principal (1), RAID espelhado em outro local (2), e fita magnética em cofre sem acesso de rede (3). Custa R$ 5-10 mil inicial, se paga com 1 único incidente prevenido.

Teste de Restore: Verificar Que Backup Funciona

Muitas empresas fazem backup mas NUNCA testam se conseguem restaurar. Resultado: chegou o dia, tentam recuperar e descobrem que backup está corrompido, incompleto, ou perdeu a senha. Faça restore teste mensal: selecione pasta aleatória de backup, restaure em computador de teste, verifique se dados estão íntegros. Se não conseguir restaurar em 1 hora, seu backup está inútil.

Ferramenta de Backup Recomendada para PMEs: Duplicati (gratuita, open source). Faz backup automático, criptografa durante transmissão, suporta múltiplos destinos (NAS, nuvem, disco externo). Configure: backup completo mensal + incremental semanal, teste restore mensal.

MFA: Bloquear Acesso Inicial

Se entrada via email phishing ou RDP requer MFA (código de celular + senha), até criminoso roubando senha não consegue entrar. MFA reduz ataques bem-sucedidos em 99%. Prioridade: MFA em email corporativo e RDP. Custo: zero (Google Authenticator) a R$ 1000/ano (Duo, Microsoft).

Patching Periódico: Fechar Buracos

Vulnerabilidade descoberta, patch (correção) é lançado, criminosos criam exploits, ataque em massa. Tempo entre descoberta e ataque massivo é cada vez menor (às vezes horas). Solução: atualizações automáticas ativadas. Windows Update, navegadores, softwares críticos tudo em automático. Se não conseguir automático, janela mensal de patching é mínimo aceitável.

Segmentação de Rede: Conter Propagação

Se um computador é infectado, não deixe malware se espalhar livremente para todos outros. Use VLANs: rede de clientes separada, rede de staff separada, rede de servidores separada. Regras de firewall entre VLANs limitam comunicação. Se servidor é hackeado, pelo menos dados em outra VLAN estão mais seguros.

Antivírus + EDR: Detecção e Resposta

Antivírus tradicional detecta malware conhecido por assinatura (pattern matching). Ransomware novo não será detectado. EDR (Endpoint Detection and Response) como Crowdstrike, Microsoft Defender for Endpoint, ou SentinelOne monitora comportamento suspeito (tentativa de criptografia em massa, acesso a backup, etc.) e para execução automaticamente. EDR é mais caro (R$ 100-300/endpoint/mês) mas detecta até zero-days.

O Que Fazer Se Sua Empresa For Atacada

Primeiros 60 Minutos (Ação Crítica)

1. NÃO PAGUE NADA IMEDIATAMENTE: Respire fundo. Você tem tempo para pensar. Maioria de ransomwares dão período de 5-7 dias para pagamento (querem dar tempo para você conseguir criptomoeda). Decide com calma, não sob pressão.

2. ISOLE COMPUTADORES INFECTADOS: Desligue de rede (desplugue cabo de ethernet, desative WiFi). NÃO reinicie (pode ativar mecanismos anti-forense). Desligue também computadores que compartilham rede local para evitar propagação. Esta é hora crítica.

3. IDENTIFIQUE SCOPE: Ransomware afetou quantos computadores? Quais dados estão criptografados? Se é tudo em rede, problema é maior. Se é apenas um computador/server, é contível. Procure por extensões de arquivo inusitadas (.locked, .encrypted, .xyz, etc.) adicionadas em massa.

4. LIGUE PARA POLÍCIA FEDERAL: Registre boletim de ocorrência. Polícia Federal tem delegacia especializada em crimes cibernéticos. Vai ajudar rastrear criminosos (muitos usam variantes conhecidas) e possivelmente recuperar dados. Além disso, é exigido para seguro.

5. NOTIFIQUE STAKE-HOLDERS: Se dados de cliente foram expostos/criptografados, você tem obrigação legal de notificar (LGPD). Se foi apenas dados internos, notifique apenas stakeholders críticos (dono, conselho, segurador). Falsa modéstia aqui é pior que transparência.

Primeiras 24-48 Horas (Análise Forense)

1. CONTACTE ESPECIALISTA FORENSE: Se empresa tem seguro cyber (recomendado) ele inclui cobertura de resposta a incidente. Empresa especializada faz análise de como você foi hackeado, que ransomware é (às vezes há ferramenta de descriptografia gratuita disponível), e se há mais backdoors deixados. Custo: R$ 20-50 mil, coberto por seguro.

2. NUNCA PAGUE SEM CONSULTORIA: Temptação de pagar para “sair do problema” é grande. Mas 30% de vítimas que pagam não recebem chave. Além disso, criminosos sabem quanto empresa pode pagar e aumentam valor inicial se você é grande. Forense ajuda avaliar se descriptografia é realmente impossível sem pagamento.

3. ISOLE BACKUPS: Se você tem backup 3-2-1 com cópia offline, temos ótimas notícias: você não está perdido. Restaure de backup offline (já que backup online provavelmente também foi criptografado). Se não tem backup, chance de recuperação é próxima a zero sem forense cara ou pagamento.

Reconstrução (Dias/Semanas)

1. PREPARAR AMBIENTE LIMPO: Não pode restaurar dados em computador infectado (vai reinfectar). Fazer wipe completo (zero seguro) em computadores/servidores, instalar sistema operacional limpo, instalar patches, instalar antivírus. Isto leva dias dependendo de quantos ativos.

2. RESTAURAR DE BACKUP: Uma vez ambiente está limpo, restaurar dados do backup. Isto é porque 3-2-1 é tão importante: sem cópia offline você perdeu tudo permanentemente.

3. IMPLEMENTAR MELHORIAS: Que deixou você vulnerável? Análise forense vai apontar. Implemente: MFA, patching automático, EDR, backup 3-2-1, segmentação de rede. O que não mata deixa mais forte.

Custo de Incidente Mal-Gerenciado: Ransomware + custo de inatividade + recuperação = R$ 500 mil a R$ 2 milhões. Seguro cyber custa R$ 1-3 mil/mês para PME de 20 pessoas, cobrir até R$ 1 milhão em incidente. Vale cada centavo.

Tipos Comuns de Ransomware em 2026

NomeAno IdentificadoVetores PrincipaisExtensão ArquivoCaracterísticas
LockBit 3.02019Phishing, RDP, Vulnerabilidades.lockedExtorsão dupla (roubo + criptografia), afiliados pagos para distribuir
BlackCat/ALPHV2021RDP, Vulnerabilidades, E-mail.alphvEscrito em Rust (mais rápido), ataca infra crítica
Royal2022Phishing, Vulnerabilidades, RDP.royalAtacadeado por-empresa (menos spread), resgate entre R$300K-R$1M
Cl0p2019Vulnerabilidades Zero-Day (Accellion, MOVEit).cl0pAltamente sofisticado, ataca grandes corporações
Conti2020Phishing, RDP, Vulnerabilidades.contiExtinto 2022, mas variantes continuam (Conti v2, Alphv eram derivadas)

Perguntas Frequentes sobre Ransomware

Se meus dados estão criptografados, devo pagar resgate?

Não. Autoridades (FBI, CERT-BR, Europol) recomendam formalmente não pagar. Motivos: (1) 30% de vítimas que pagam não recebem chave; (2) financiar criminosos encoraja mais ataques; (3) você pode restaurar de backup se tiver um bom; (4) criptomoeda pode ter origem rastreável. Se você realmente tem backup 3-2-1, pagamento é desnecessário.

Qual é a chance de recuperar dados sem pagar nem ter backup?

Praticamente zero. Criptografia RSA 2048 bits seria levar milhares de anos quebrar com computador convencional. Única esperança é se: (1) chave foi deixada no computador por erro do criminoso (raro); (2) há ferramenta de descriptografia gratuita disponível online (existe para alguns ransomwares antigos); (3) criminoso libera chave se negociação (muito raro). Melhor investir R$ 500 em backup 3-2-1 mensal do que esperar milagre.

RDP é sempre inseguro ou posso deixar exposto com proteções?

RDP pode ser seguro COM proteções robustas: (1) MFA obrigatório; (2) mudança de porta padrão 3389 para número aleatório (não evita scan mas reduz bots automatizados); (3) firewall limitando a IPs específicos; (4) VPN como camada anterior. Melhor ainda: não deixar RDP exposto, usar VPN em vez disso. VPN oferece criptografia e acesso controlado sem deixar serviço aberto.

Por quanto tempo ransomware fica na rede antes de criptografar?

Varia de horas a semanas. Grupos sofisticados (targeted attacks) estudam rede por semanas antes de criptografar, para roubar máximo de dados. Grupos menos sofisticados (spray-and-pray) criptografam em horas. Detecção de intrusão (EDR) é crítica durante essa fase: comportamento suspeito (reconhecimento de rede, roubo de credencial, tentativa lateral movement) é detectável.

Se pago resgate, criminosos deixam backdoor para atacar novamente?

Sim, é risco. Alguns criminosos deixam backdoor intencionalmente para ataque futuro ou venda de acesso para outro grupo. Por isso após pagar (se decide pagar), é obrigatório fazer auditoria forense completa procurando backdoors deixados. Melhor: restaurar de backup limpo, não tentar “sair do problema” com pagamento.

Seguro cyber cobre ransomware?

Sim, mas leia letra pequena. Maioria de seguros cyber cobre: custos de resposta a incidente (forense, análise), notificação de cliente, perda de negócio durante inatividade. Alguns cobrem também resgate (embora não recomendem pagar). Custo: R$ 1-3 mil/mês para PME. Vale investimento: um incidente custa R$ 500K-2M, seguro cobre até R$ 1M.

Como detectar ransomware antes de tudo ser criptografado?

Sinais: (1) CPU alta sem motivo óbvio (criptografia consome CPU); (2) tráfego de rede inusitado (ransomware pode exfiltrar dados antes criptografar); (3) aumento de file locking (arquivos abertos por processo desconhecido); (4) extensões de arquivo mudando em massa (watchare para .locked, .encrypted, etc.); (5) serviços antivírus/backup sendo desabilitados. EDR detecta isso automaticamente, antivírus não. Por isso monitoramento proativo é crítico.

Conclusão

Ransomware é ameaça real que custou R$ 5 bilhões ao Brasil em 2025. Não é questão de “se” você será atacado, mas “quando”. Boa notícia: com prevenção correta você pode estar preparado.

Prioridades em ordem: (1) backup 3-2-1 (sua defesa número 1); (2) MFA (bloqueia acesso inicial); (3) patching (fecha buracos); (4) treinamento anti-phishing (evita clique em links maliciosos). Se implementar esses 4, você está melhor protegido que 95% das PMEs brasileiras.

Se for atacado agora, saiba o que fazer: isole infectados, ligue polícia federal, busque forense especializada, restaure de backup, não pague sem análise. Plano documentado reduz impacto dramáticamente.

Leia também nossos artigos relacionados: Backup 3-2-1: Estratégia Completa, Como Identificar e Treinar contra Phishing, Firewall e Antivírus Essenciais. Seu futuro de negócio depende de decisões de segurança que você toma hoje.