Empresa Atacada por Ransomware: Os Primeiros Passos Que Fazem a Diferença

Um ficheiro que aparece de repente com extensão estranha. Uma mensagem no ecrã a exigir pagamento em criptomoeda. O acesso a servidores e documentos partilhados subitamente bloqueado. Se isto está a acontecer agora à sua empresa, os próximos 30 minutos são decisivos. Este guia explica o que fazer — e o que não fazer — nas primeiras horas de um ataque de ransomware.

Passo 1: Isole imediatamente os sistemas afetados

O ransomware espalha-se lateralmente pela rede. A prioridade absoluta é desligar a máquina afetada da rede — desligue o cabo de rede ou desative o Wi-Fi imediatamente, mas não desligue o computador. Desligar pode apagar informação em memória que ajuda a identificar a variante do ransomware e como entrou.

Se houver mais do que uma máquina, isole cada uma que mostre sinais de infeção. Se o servidor central está comprometido, desligue-o da rede mas mantenha-o ligado até ter apoio técnico especializado.

Passo 2: Não pague o resgate de imediato — e não apague nada

Pagar o resgate não garante a recuperação dos dados — em muitos casos, os atacantes não fornecem a chave de desencriptação mesmo depois do pagamento, ou fornecem uma chave que não funciona corretamente. Pagar também identifica a empresa como "pagadora", aumentando o risco de novos ataques.

Não formate nem reinstale sistemas antes de uma análise técnica. Essa análise pode identificar como o atacante entrou (email de phishing, RDP exposto, credencial comprometida) — informação essencial para fechar a porta de entrada antes de recuperar os sistemas.

Passo 3: Identifique a extensão real do ataque

Verifique que sistemas estão realmente afetados: servidores de ficheiros, bases de dados, backups, sistemas de email. É comum que o ransomware tenha estado presente na rede durante dias ou semanas antes de "detonar" a encriptação — por isso a investigação técnica precisa de olhar para trás no tempo, não só para o momento do ataque.

Passo 4: Verifique o estado dos backups

A pergunta decisiva é: existem backups recentes, testados e isolados da rede principal? Se sim, a recuperação sem pagar resgate é possível. Backups guardados no mesmo servidor ou rede que foi atacada são frequentemente encriptados também — daí a importância da regra 3-2-1 (três cópias, dois suportes diferentes, uma cópia fora do local).

Se os backups estão intactos, a prioridade passa a ser: limpar completamente os sistemas comprometidos antes de restaurar, para evitar reinfeção imediata.

Passo 5: Comunique de forma responsável

Se dados pessoais de clientes ou colaboradores foram comprometidos, existe obrigação legal de notificar a Comissão Nacional de Proteção de Dados (CNPD) dentro de 72 horas, conforme o RGPD. Notifique também clientes afetados, se aplicável, e a sua equipa interna, para evitar que continuem a usar sistemas comprometidos.

Como reduzir o risco de um próximo ataque

  • Backups isolados e testados regularmente — a defesa mais eficaz contra ransomware não é impedir todos os ataques, é garantir recuperação sem pagar
  • Autenticação de dois fatores (2FA) em todos os acessos remotos e contas críticas
  • Antivírus/EDR gerido com deteção de comportamento, não apenas assinaturas conhecidas
  • Formação da equipa em identificação de phishing, a porta de entrada mais comum
  • Segmentação de rede para limitar a propagação lateral em caso de infeção

O custo de não estar preparado

Para uma PME, um ataque de ransomware sem backups adequados frequentemente significa dias ou semanas de paragem total, custos de recuperação que podem ultrapassar largamente o valor do resgate pedido, e em casos graves, o encerramento definitivo do negócio. A prevenção — backups isolados, autenticação reforçada e um plano de continuidade testado — custa uma fração do que custa recuperar de um ataque sem preparação.

A sua empresa está preparada para um ataque de ransomware?

A Vuvo ajuda PMEs a prevenir e a recuperar de ataques de ransomware: backups isolados, autenticação reforçada, e apoio técnico imediato em caso de incidente.

Preparar a minha empresa