Um ficheiro que aparece de repente com extensão estranha. Uma mensagem no ecrã a exigir pagamento em criptomoeda. O acesso a servidores e documentos partilhados subitamente bloqueado. Se isto está a acontecer agora à sua empresa, os próximos 30 minutos são decisivos. Este guia explica o que fazer — e o que não fazer — nas primeiras horas de um ataque de ransomware.
Passo 1: Isole imediatamente os sistemas afetados
O ransomware espalha-se lateralmente pela rede. A prioridade absoluta é desligar a máquina afetada da rede — desligue o cabo de rede ou desative o Wi-Fi imediatamente, mas não desligue o computador. Desligar pode apagar informação em memória que ajuda a identificar a variante do ransomware e como entrou.
Se houver mais do que uma máquina, isole cada uma que mostre sinais de infeção. Se o servidor central está comprometido, desligue-o da rede mas mantenha-o ligado até ter apoio técnico especializado.
Passo 2: Não pague o resgate de imediato — e não apague nada
Pagar o resgate não garante a recuperação dos dados — em muitos casos, os atacantes não fornecem a chave de desencriptação mesmo depois do pagamento, ou fornecem uma chave que não funciona corretamente. Pagar também identifica a empresa como "pagadora", aumentando o risco de novos ataques.
Não formate nem reinstale sistemas antes de uma análise técnica. Essa análise pode identificar como o atacante entrou (email de phishing, RDP exposto, credencial comprometida) — informação essencial para fechar a porta de entrada antes de recuperar os sistemas.
Passo 3: Identifique a extensão real do ataque
Verifique que sistemas estão realmente afetados: servidores de ficheiros, bases de dados, backups, sistemas de email. É comum que o ransomware tenha estado presente na rede durante dias ou semanas antes de "detonar" a encriptação — por isso a investigação técnica precisa de olhar para trás no tempo, não só para o momento do ataque.
Passo 4: Verifique o estado dos backups
A pergunta decisiva é: existem backups recentes, testados e isolados da rede principal? Se sim, a recuperação sem pagar resgate é possível. Backups guardados no mesmo servidor ou rede que foi atacada são frequentemente encriptados também — daí a importância da regra 3-2-1 (três cópias, dois suportes diferentes, uma cópia fora do local).
Se os backups estão intactos, a prioridade passa a ser: limpar completamente os sistemas comprometidos antes de restaurar, para evitar reinfeção imediata.
Passo 5: Comunique de forma responsável
Se dados pessoais de clientes ou colaboradores foram comprometidos, existe obrigação legal de notificar a Comissão Nacional de Proteção de Dados (CNPD) dentro de 72 horas, conforme o RGPD. Notifique também clientes afetados, se aplicável, e a sua equipa interna, para evitar que continuem a usar sistemas comprometidos.
Como reduzir o risco de um próximo ataque
- Backups isolados e testados regularmente — a defesa mais eficaz contra ransomware não é impedir todos os ataques, é garantir recuperação sem pagar
- Autenticação de dois fatores (2FA) em todos os acessos remotos e contas críticas
- Antivírus/EDR gerido com deteção de comportamento, não apenas assinaturas conhecidas
- Formação da equipa em identificação de phishing, a porta de entrada mais comum
- Segmentação de rede para limitar a propagação lateral em caso de infeção
O custo de não estar preparado
Para uma PME, um ataque de ransomware sem backups adequados frequentemente significa dias ou semanas de paragem total, custos de recuperação que podem ultrapassar largamente o valor do resgate pedido, e em casos graves, o encerramento definitivo do negócio. A prevenção — backups isolados, autenticação reforçada e um plano de continuidade testado — custa uma fração do que custa recuperar de um ataque sem preparação.
A sua empresa está preparada para um ataque de ransomware?
A Vuvo ajuda PMEs a prevenir e a recuperar de ataques de ransomware: backups isolados, autenticação reforçada, e apoio técnico imediato em caso de incidente.
Preparar a minha empresa