Glossário
O que é malware? Tipos, rotas de infecção e as defesas básicas
O que é malware, os principais tipos (vírus, worm, trojan, ransomware, spyware, bot), como se espalha e a defesa comum — atualizações, EDR, privilégio mínimo e backups. Defensivo, sem passos de ataque.
"Software malicioso que causa dano aos seus dispositivos ou dados" — esse termo guarda-chuva é malware. Veja aqui os principais tipos e a defesa que permanece a mesma não importa qual seja o tipo (sem passos de ataque).
Os tipos de malware (um mapa)
Há muitos nomes, mas tudo de que você realmente precisa é de um mapa aproximado de "estas famílias existem" — porque, como se vê abaixo, a defesa é compartilhada.
Vírus
Anexa-se a um arquivo legítimo e, quando executado, se replica e se espalha. Não consegue agir sozinho.
Worm
Autorreplica-se sozinho e se espalha automaticamente pela rede. Explode em redes desprotegidas.
Cavalo de Troia (trojan)
Passa-se por software útil e legítimo para entrar e depois age de forma maliciosa em segundo plano. Você mesmo o instala.
Ransomware
Criptografa arquivos e exige um resgate. Hoje costuma vir combinado com roubo de dados — dupla extorsão (→ artigo dedicado).
Spyware
Esconde-se sem ser notado e rouba digitações, credenciais e histórico de navegação.
Bot / botnet
Controla remotamente máquinas infectadas e reúne muitas delas para ataques. As ordens chegam de um C2 (→C2).
Na prática, um único malware muitas vezes veste vários desses chapéus ao mesmo tempo (por exemplo, entra como trojan, age como spyware para roubar dados e, por fim, solta ransomware). É exatamente por isso que é mais útil reforçar suas defesas de entrada / detecção / recuperação do que gastar tempo com "qual tipo é este?".
Principais rotas de infecção (conheça a entrada)
O malware não aparece por mágica; ele entra por um conjunto previsível de portas. Aqui estão apenas as rotas em alto nível (sem técnicas específicas).
Em todos os casos, a entrada é uma lacuna nas pessoas e na operação — abrir algo sem cuidado, deixar o software desatualizado, não verificar de onde veio. O outro lado: as defesas abaixo fecham a maioria delas.
Defesa (o tipo muda, o trabalho não)
Você não precisa de uma contramedida separada por tipo. Empilhe as três camadas que funcionam contra malware em geral.
Feche a entrada: atualizações, arquivos suspeitos, MFA
Atualize seu SO e software regularmente para que buracos conhecidos não persistam. Não abra anexos, macros ou links inesperados. Proteja contas principais com autenticação multifator (MFA) para que credenciais roubadas não signifiquem comprometimento imediato (→ como escolher MFA).
Adicione uma camada de detecção: antivírus / EDR
Bloqueie ameaças conhecidas com antivírus (incluindo o embutido no seu SO) e, onde precisar de mais, use EDR para observar o comportamento e capturar também malware desconhecido (→ o que é EDR). A detecção não é perfeita, porém — nunca confie só nela.
Limite o raio de impacto: privilégio mínimo
Não faça o trabalho do dia a dia como administrador. Manter privilégios no mínimo significa que, mesmo que algo execute, não pode se espalhar longe — um dispositivo ou uma conta não desencadeia tudo.
Consiga se recuperar: backups
A última linha é um backup. Contra ransomware, em especial, uma cópia offline / imutável mais testes de restauração regulares são o que decide (→ essenciais de backup e recuperação).
Antivírus tradicional (comparando o conhecido)
- detecta comparando a "impressão digital" (assinatura) de um malware conhecido
- leve e eficaz contra ameaças amplamente disseminadas
- tende a perder variantes desconhecidas / recém-criadas
- muitas vezes confundido com "instale e você está seguro"
EDR (observando o comportamento)
- detecta por comportamento suspeito (criptografia estranha, chamadas para fora), não pelo nome do arquivo
- percebe ataques desconhecidos e o "abuso de ferramentas legítimas"
- deixa um registro que você pode usar para investigar e conter após uma infecção
- ainda não substitui a entrada (atualizações) e a recuperação (backups)
A visão deste site: decorar tipos não é estratégia de defesa
Os atacantes ficam mudando os nomes e a aparência. Correr atrás do "nome de malware do mês" não deixará sua defesa mais forte. O que funciona universalmente é a estrutura de três camadas — entrada, detecção, recuperação. Este site aplica o mesmo princípio a si mesmo: mantemos as dependências atualizadas para fechar a entrada, monitoramos CVEs por máquina para detectar e mantemos nossa configuração reproduzível para conseguir recuperar. Defender-se de malware não é algo especial — é uma extensão desses fundamentos.
O ponto cego: "eu tenho antivírus, então estou bem" não é verdade
O erro mais comum é tratar uma única ferramenta de detecção como amuleto de sorte. A detecção sempre perde uma certa fração, e no momento em que ela é rompida sua defesa cai a zero. O que é forte é a sobreposição de camadas: corte o volume na entrada (não abrir, sempre atualizar), capture o que sobra com a detecção (antivírus / EDR) e neutralize o que ainda assim escapa com a recuperação (backups). Não se apoiar em nenhuma camada isolada é onde a defesa contra malware começa.
Leia a seguir
- Glossário: o que é ransomware (o tipo mais danoso — dupla extorsão) · o que é C2 (comando e controle) (como os bots são operados)
- Glossário: o que é EDR (detectar o desconhecido por comportamento) · o que é um IOC (rastros de uma infecção)
- Aprenda: essenciais de backup e recuperação (conseguir se recuperar — a última linha) · a checklist de baseline de segurança (a base para entrada, detecção, recuperação)
FAQ
QQual é a diferença entre malware e vírus?
Um vírus é um tipo de malware. Malware é o termo guarda-chuva para todo 'software malicioso', e inclui vírus, worms, trojans, ransomware, spyware e bots. Na fala do dia a dia as pessoas chamam tudo de 'vírus', mas, a rigor, um vírus é o tipo específico que se copia anexando-se a outros arquivos, enquanto malware é a palavra guarda-chuva ampla que cobre todos eles.
QO antivírus gratuito é suficiente?
Para o básico pessoal, a proteção embutida que seu SO já traz (como o Microsoft Defender no Windows) mais atualizações regulares, backups e privilégio mínimo já cobrem bastante coisa. Mas o antivírus, em sua maior parte, compara com 'coisas sabidamente ruins', então malware novo ou engenhoso pode passar. Onde você precisa de uma defesa mais forte, o EDR complementa observando o comportamento e capturando ataques desconhecidos. De todo modo, não confie só na detecção — combine-a com o lado da entrada (atualizações, não abrir arquivos suspeitos) e com a recuperação (backups).
QAcho que fui infectado. O que devo fazer?
Primeiro, não pague nada em pânico. A ordem é: (1) desconecte esse dispositivo da rede para deter a propagação e as chamadas para fora, (2) de um dispositivo separado e seguro, troque as senhas de e-mail, banco e contas principais e ative a autenticação multifator, (3) restaure de um backup limpo ou redefina o dispositivo para voltar a um estado bom conhecido, e (4) corte a entrada que você suspeita (o anexo que abriu, o app que instalou, o USB que conectou). Para um dispositivo que guarda dados importantes, considere procurar um profissional.