Glossário
O que é ransomware? Como funciona, como entra e como evitar pagar
Ransomware é um malware que criptografa seus arquivos e exige um resgate. Ataques modernos adicionam a 'dupla extorsão' — roubar dados e ameaçar vazá-los. Como funciona, as principais rotas de entrada (phishing, VPN/RDP expostos, falhas sem patch) e como se recuperar sem pagar — só defesa.
"Manter seus arquivos reféns e exigir um resgate" — isso é ransomware. Veja como funciona e como evitar pagar (sem passos de ataque).
Como funciona: um modelo de negócio, não apenas um vírus
O ransomware clássico criptografa todos os arquivos que consegue alcançar em um dispositivo ou servidor e deixa um bilhete: "pague se quiser a chave de descriptografia". Mas a real natureza da ameaça de hoje é menos sobre a tecnologia e mais sobre como ela gera dinheiro.
Na dupla extorsão, invasores exfiltram dados antes de criptografar. Então mesmo que a vítima restaure de seus próprios backups, resta uma segunda ameaça: "pague ou publicamos o que roubamos". Essa mudança é o motivo pelo qual "temos backups, então estamos bem" já não se sustenta sozinho. Além disso, o RaaS (Ransomware como serviço) divide o trabalho — quem constrói a ferramenta e quem executa os ataques agora são pessoas diferentes — o que reduziu drasticamente a barreira de entrada.
Principais rotas de entrada (feche a porta)
O ransomware não aparece por mágica; ele entra por um conjunto previsível de portas. Fechá-las é a primeira linha de defesa.
1. Phishing
via anexos / links de e-mail. A porta mais comum. defesa = MFA, filtragem de e-mail, treinamento
2. VPN/RDP expostos
acesso remoto fraco / sem MFA. defesa = exigir MFA, reduzir exposição
3. Falhas sem patch
buracos conhecidos em software exposto à internet. defesa = aplicar patch prontamente
Um exemplo real que cobrimos, o vazamento em massa do MOVEit (Cl0p), explorou uma vulnerabilidade sem patch em software exposto à internet e roubou grandes volumes de dados antes de uma correção estar disponível — um caso de dupla extorsão. É um bom lembrete de que "um anexo de e-mail" não é a única forma de o ransomware entrar.
Defesa: torne possível a recuperação sem pagar
Mantenha backups offline / imutáveis (o mais importante)
Backups são o que decide a recuperação. Mas um backup sempre online e gravável pode ser criptografado junto com o resto, então mantenha pelo menos uma cópia offline ou imutável (à prova de adulteração), e faça testes de restauração regularmente para confirmar que você realmente consegue recuperar os dados. Veja essenciais de backup e recuperação (3-2-1).
Feche a entrada: MFA e patches
Exija autenticação multifator (MFA) nas maiores portas — logins propensos a phishing e acesso remoto exposto — e aplique patches em vulnerabilidades conhecidas prontamente em tudo o que estiver exposto à internet. Só isso já detém uma grande parcela das invasões (→ escolhendo MFA).
Limite o raio de impacto: privilégio mínimo e segmentação
Para que um comprometimento não criptografe a empresa inteira, mantenha privilégios no mínimo necessário e segmente a rede. Projetar para que uma única máquina comprometida não se espalhe por toda parte mantém o dano local.
Tenha detecção e um plano de 'depois que formos atingidos'
Mesmo com as portas fechadas, a prevenção nunca é perfeita. Então detecte anomalias cedo e decida com antecedência — em um plano de resposta a incidentes — quem faz o quê (isolar, notificar, restaurar, nessa ordem). Construa a capacidade de conter e restaurar antes que alguém entre em pânico e pague.
A visão deste site: pagar não é nem o último recurso — a preparação é o ponto
Sobre pagar ou não, nossa posição é clara: construa a capacidade de não pagar, com antecedência. Pagar não garante a descriptografia; com a dupla extorsão também não detém o vazamento; e financia o crime ao mesmo tempo em que o marca como um pagador que será atacado de novo. Então o trabalho real é preparação, não resposta a incidentes. Um backup offline que você consegue restaurar mais uma entrada fechada com MFA e patches — com ambos no lugar, o ransomware deixa de ser um "evento catastrófico" para um "incidente irritante, mas recuperável".
Ponto cego: "temos backups" já não significa "estamos seguros"
Backups costumavam tornar o ransomware inofensivo. Mas agora que a dupla extorsão é a norma, conseguir restaurar é um problema diferente de impedir o roubo de dados. Invasores extraem os dados antes de criptografar e então exigem pagamento "ou publicamos". Então a defesa é em duas camadas — não apenas conseguir restaurar (backups) mas também não deixá-los entrar nem sair (defesa de entrada). O ponto de partida da defesa moderna contra ransomware é recusar-se a parar em "mas temos backups".
Leia a seguir
- Aprenda: essenciais de backup e recuperação (a base para se recuperar sem pagar — a regra 3-2-1)
- Aprenda: escolhendo o MFA do jeito certo (feche a maior entrada)
- Glossário: o que é phishing (corte a principal rota de entrada em si)
- Caso: o vazamento em massa do MOVEit (Cl0p) (dupla extorsão via falha sem patch)
- Glossário: o que é C2 (comando e controle) (o canal pós-infecção pelo qual os invasores operam)
FAQ
QSe eu for atingido por ransomware, devo pagar?
Incline-se fortemente a não pagar. Pagar não garante que você recupere seus arquivos, e não garante que os dados roubados não serão vazados. Também financia grupos criminosos e o marca como alguém que paga, tornando-o um alvo recorrente (e pagar grupos sancionados pode trazer risco legal). Muitas autoridades desencorajam o pagamento. É exatamente por isso que a preparação — backups offline que você consegue restaurar sem pagar — importa mais.
QComo o ransomware entra?
Três rotas principais. (1) Anexos ou links de e-mail de phishing — a entrada mais comum. (2) Acesso remoto exposto à internet (VPN/RDP) que é fraco ou não tem autenticação multifator (MFA). (3) Vulnerabilidades conhecidas e sem patch em software exposto à internet. Em resumo: ação humana, pontos de entrada expostos e patches faltando — todos os quais você pode fechar com defesas.
QTer backups é suficiente?
Backups são o controle mais importante, mas com condições. Um backup sempre online e gravável pode ser criptografado junto com todo o resto, então mantenha pelo menos uma cópia offline ou imutável (à prova de adulteração) e faça testes de restauração regularmente. E como ataques modernos roubam dados antes de criptografar (dupla extorsão), backups permitem 'recuperar', mas não detêm um vazamento — você também precisa de defesas de entrada para que invasores não entrem e exfiltrem dados antes de mais nada.