O que fazer nas primeiras horas após um ataque de ransomware

1. Introdução

Descobrir que sua empresa foi vítima de um ataque de ransomware é um dos momentos mais críticos que qualquer organização pode enfrentar. Em questão de minutos, arquivos importantes são bloqueados, sistemas param de funcionar e uma mensagem aparece exigindo pagamento para liberar o acesso. É como ouvir um estalo em uma sala de vidro: você imediatamente entende que algo muito importante se partiu. Em 2025, esse tipo de ataque continua sendo uma das ameaças mais frequentes e devastadoras, atingindo empresas de todos os tamanhos, inclusive pequenas e médias, que muitas vezes não possuem estrutura robusta para lidar com esse tipo de crise.

Segundo dados do Microsoft Incident Response Playbook, o tempo médio que uma organização leva para retomar suas operações após um ataque de ransomware é de 23 dias. Esse período representa não apenas uma paralisação das atividades, mas também um prejuízo financeiro significativo, que pode chegar a centenas de milhares de dólares em grandes empresas. No Brasil, de acordo com um relatório da Voicefy, empresas de médio porte costumam gastar, em média, R$ 150 mil apenas para conter o avanço do malware e iniciar o processo de recuperação — sem contar os danos à imagem e à confiança dos clientes.

Diante desse cenário, é fundamental saber como agir nas primeiras horas. A resposta deve ser rápida, coordenada e bem planejada. Este guia foi desenvolvido com base em três referências essenciais na área de segurança digital: o Microsoft Incident Response Playbook, o guia de resposta a incidentes do NIST (National Institute of Standards and Technology, dos EUA) e o modelo proposto pela Voicefy, adaptado ao contexto brasileiro. A proposta é apresentar um roteiro claro e acessível, dividido em cinco fases, para orientar empresas e profissionais de TI sobre o que fazer imediatamente após identificar um ataque de ransomware.

Se você é gestor de TI, dono de uma pequena empresa, responsável por infraestrutura em uma instituição de ensino ou apenas alguém preocupado com a segurança dos seus sistemas, este guia pode fazer a diferença entre o caos e a recuperação eficiente. Ao entender cada uma das fases — preparação, detecção, contenção, recuperação e aprendizado — você estará melhor preparado para enfrentar esse tipo de ameaça de forma estruturada e eficaz.

2. Fase 1 – Preparação: a base de uma resposta eficaz

A primeira fase para lidar com um ataque de ransomware começa antes mesmo de ele acontecer. A preparação é, sem dúvida, o elemento mais importante de toda a resposta. Ter ferramentas de proteção, como antivírus, é apenas uma pequena parte desse processo. O verdadeiro diferencial está na existência de um plano de ação bem definido, que envolva todas as áreas da organização — da equipe técnica até a diretoria, passando pelo jurídico e pela comunicação.

Um bom Plano de Resposta a Incidentes deve ser elaborado com clareza e aprovado pela alta gestão da empresa. Esse plano deve definir com precisão quem são os responsáveis por cada etapa em caso de ataque. Por exemplo: quem será o responsável por isolar máquinas infectadas? Quem vai avaliar a extensão do impacto? Quem decide sobre restauração de backups? Quem comunica clientes, parceiros e órgãos reguladores? Esses papéis precisam estar claros e previamente distribuídos. Além disso, é necessário estabelecer canais de comunicação alternativos, como e-mails que não estejam na mesma rede afetada, aplicativos de mensagens fora do ambiente corporativo ou mesmo linhas telefônicas diretas. Isso evita que, caso a rede principal esteja comprometida, a comunicação interna e externa continue funcionando.

Outro ponto fundamental na fase de preparação é a estratégia de backup e recuperação. O ideal é adotar uma abordagem mista, combinando backups locais e em nuvem. Os backups locais, realizados em HDs externos, fitas ou servidores isolados, permitem uma recuperação rápida, mas estão vulneráveis se estiverem conectados à rede no momento do ataque. Já os backups em nuvem com políticas de imutabilidade — ou seja, que não podem ser alterados ou excluídos por ninguém, nem mesmo por administradores — são mais seguros contra ataques, embora possam ser mais lentos para restaurar. Serviços como o Azure Blob Storage com Immutability Policy, além de plataformas como Druva e Veeam, são recomendados para proteger dados críticos e históricos. A melhor prática é usar os dois modelos de forma combinada, garantindo redundância, agilidade e segurança.

Além dos backups, a forma como a rede corporativa está estruturada influencia diretamente na contenção de ataques. Uma rede bem segmentada, com zonas separadas para diferentes funções (por exemplo, uma zona para servidores, outra para os computadores dos funcionários e outra para serviços expostos à internet), limita o movimento do ransomware. Esse conceito, conhecido como segmentação de rede, pode ser implementado por meio de firewalls e regras de roteamento. Também é imprescindível adotar autenticação multifator (MFA) para acessos administrativos e sistemas sensíveis, reduzindo as chances de que um invasor use credenciais roubadas para acessar áreas críticas.

A documentação do plano de resposta deve ser clara, atualizada e armazenada fora da rede principal — como em pen drives criptografados, nuvens seguras ou impressa em papel. Porém, de nada adianta ter um plano perfeito se ninguém souber colocá-lo em prática. Por isso, a organização precisa promover treinamentos periódicos com simulações realistas, em que os times técnicos, administrativos e de comunicação sejam expostos a cenários hipotéticos de ransomware. Essas simulações, conhecidas como exercícios de mesa ou simulações controladas, ajudam a identificar falhas, alinhar expectativas e fortalecer a cultura de resposta da empresa.

3. Fase 2 – Detecção e análise: descobrir rapidamente o escopo

Quando o ataque ocorre, o tempo é um fator crítico. Quanto mais rápido ele for detectado, menores serão os danos. Por isso, a capacidade de identificar um ataque de ransomware nas suas fases iniciais é essencial. Felizmente, existem diversas ferramentas e práticas que ajudam nessa tarefa.

Ferramentas de EDR (Endpoint Detection and Response), como CrowdStrike Falcon, Microsoft Defender for Endpoint e SentinelOne, são projetadas para monitorar o comportamento de computadores e servidores. Elas conseguem identificar padrões incomuns, como a criação em massa de arquivos com nomes estranhos ou a execução de processos de criptografia fora do padrão. Ao detectar esse tipo de atividade, o sistema envia alertas que permitem uma resposta rápida.

Outro recurso importante são os sistemas de SIEM (Security Information and Event Management), que reúnem e analisam logs de diferentes fontes da infraestrutura — como firewalls, servidores de autenticação, roteadores e sistemas operacionais. Esses sistemas cruzam informações em tempo real e identificam padrões que sugerem um ataque. Ferramentas como Splunk, Elastic SIEM e Azure Sentinel são amplamente utilizadas nesse contexto.

Além da tecnologia, o fator humano continua sendo um elemento decisivo na detecção. Muitas vezes, os primeiros sinais de que algo está errado vêm de usuários comuns, que não conseguem abrir arquivos, percebem mensagens incomuns na tela ou notam lentidão nos sistemas. Esses relatos devem ser levados a sério e tratados como alertas iniciais. É essencial que a equipe de suporte esteja treinada para identificar e priorizar esses chamados.

Após identificar a possibilidade de um ataque, é hora de confirmar a ameaça. A equipe de TI deve verificar se o incidente se trata realmente de um ransomware, ou se é uma falha técnica ou outro tipo de malware. A partir dessa confirmação, inicia-se a análise do tipo de ransomware envolvido. Essa identificação pode ser feita por meio de plataformas como VirusTotal ou frameworks como o MITRE ATT&CK, que oferecem informações detalhadas sobre milhares de variantes conhecidas.

Com a ameaça confirmada, a empresa precisa mapear a extensão do ataque. Quantos computadores foram afetados? Quais servidores estão comprometidos? Há arquivos críticos criptografados? A equipe deve coletar os chamados IOCs (Indicadores de Comprometimento), que incluem hashes de arquivos maliciosos, endereços IP utilizados pelos invasores, domínios suspeitos e quaisquer outros vestígios da atuação dos atacantes. Essas informações serão fundamentais para as próximas fases do processo.

Enquanto essa análise é realizada, a comunicação com os gestores e outras áreas da empresa deve ser feita imediatamente. Isso inclui um resumo claro da situação, a lista das áreas afetadas e uma estimativa inicial do tempo necessário para contenção e recuperação. Essa comunicação deve ser feita por canais alternativos e seguros, como SMS corporativo ou aplicativos de mensagens criptografadas, especialmente se a rede principal estiver comprometida.

4. Fase 3 – Contenção e erradicação: eliminar o ransomware antes que ele se espalhe

Após confirmar o ataque e mapear os sistemas afetados, chega o momento mais delicado e urgente: conter o ransomware antes que ele se espalhe ainda mais pela rede da empresa. Esta etapa precisa ser feita com agilidade, mas também com cuidado, para evitar decisões precipitadas que possam piorar a situação. O principal objetivo aqui é impedir que o malware continue se propagando, atingindo outros computadores e servidores, ao mesmo tempo em que se trabalha para remover os arquivos maliciosos já identificados.

A primeira ação da contenção é isolar as máquinas infectadas. Isso pode ser feito de forma física — desconectando cabos de rede — ou lógica, bloqueando os dispositivos nos switches ou firewalls da rede. Isolar significa cortar completamente a comunicação entre a máquina comprometida e o restante da rede, inclusive com a internet. Essa etapa é crucial porque muitos ransomwares mantêm contato constante com servidores externos controlados pelos criminosos, chamados de servidores de comando e controle (C2). Ao impedir essa comunicação, você pode evitar que novas instruções maliciosas sejam enviadas à máquina infectada.

Também é fundamental desativar serviços de acesso remoto, como RDP (Remote Desktop Protocol) ou VPNs públicas, especialmente se eles estiverem expostos à internet. Esses serviços são portas de entrada comuns para invasores e, se não forem desativados imediatamente, podem ser usados para retomar o controle mesmo após o bloqueio inicial. Além disso, deve-se aplicar uma política de lista de permissões (allow-list), em que apenas dispositivos e usuários específicos podem acessar determinados recursos da rede, eliminando acessos genéricos ou desnecessários.

Outro passo essencial é a redefinição imediata de todas as senhas administrativas e senhas de sistemas críticos. Se houver suspeita de que tokens de autenticação multifator foram comprometidos, é necessário regenerá-los. Essas medidas impedem que os criminosos utilizem credenciais já obtidas para invadir novamente a rede. Vale lembrar que muitos ataques de ransomware começam semanas antes do bloqueio efetivo dos arquivos, com os criminosos se infiltrando e coletando credenciais silenciosamente.

Com a contenção em andamento, entra-se na fase de erradicação. O objetivo agora é remover o malware do ambiente. Para isso, utilizam-se ferramentas de EDR e antivírus corporativos que já tenham sido configurados para detectar e excluir arquivos suspeitos. Essas ferramentas conseguem remover não apenas os arquivos principais do ransomware, mas também payloads auxiliares, que são programas secundários usados para manter o controle ou esconder a presença do malware.

É importante também eliminar backdoors, que são acessos ocultos deixados pelos atacantes, geralmente disfarçados como serviços do sistema. Além disso, é preciso revisar o registro do sistema operacional (o “cérebro” interno do Windows, por exemplo), pois é comum que os atacantes incluam ali comandos para que o malware seja executado toda vez que o computador for reiniciado. Esses comandos devem ser removidos com cuidado, de preferência por profissionais experientes.

Outro ponto crítico na erradicação é aplicar atualizações de segurança (patches) nos sistemas vulneráveis. Muitas vezes, os invasores entram por meio de falhas conhecidas em softwares que ainda não foram atualizados. Corrigir essas falhas é essencial para evitar novas infecções. Em casos mais complexos, pode ser necessário utilizar ferramentas especializadas na remoção de códigos ocultos mais profundos, como rootkits, que são malwares que se escondem em áreas críticas do sistema. Ferramentas como GMER ou Malwarebytes Anti-Rootkit são indicadas para esse tipo de varredura mais minuciosa.

Por fim, é importante não confiar apenas na sensação de “limpeza” após remover os arquivos visíveis. A erradicação deve ser seguida de verificações cruzadas em logs de rede, histórico de acessos e comportamento dos sistemas. Somente quando houver confiança de que o ambiente está livre do malware é que se pode avançar para a etapa seguinte.

5. Fase 4 – Recuperação: restaurar operações com segurança

Depois que a contenção e a erradicação do ransomware são concluídas, começa uma das fases mais trabalhosas e sensíveis: a recuperação. Trata-se de restaurar os sistemas afetados, arquivos e serviços essenciais, mas com o máximo de segurança e controle. Essa etapa não é apenas uma “volta ao normal” — ela exige planejamento rigoroso para garantir que a restauração não traga o malware de volta nem reative falhas que permitiram o ataque.

O primeiro passo é montar um ambiente controlado para restauração, muitas vezes chamado de “quarentena de recuperação”. Esse ambiente deve ser isolado da rede principal e servir como espaço para testar os backups antes de colocá-los de volta em produção. Essa rede paralela pode ser configurada usando VLANs ou até servidores dedicados. A ideia é restaurar os dados nesse ambiente seguro e verificar se estão íntegros e livres de contaminações. Um método eficaz para isso é a verificação de hashes — códigos únicos gerados a partir do conteúdo dos arquivos. Se o hash do backup for diferente do esperado, pode ser sinal de alteração ou infecção.

Após validar a integridade dos dados, os testes funcionais devem começar. É necessário abrir documentos, rodar sistemas, acessar bancos de dados e executar operações comuns, como enviar e-mails ou fazer login em plataformas internas. Esse é o momento de identificar eventuais falhas ou comportamentos estranhos antes de reintegrar os sistemas à rede principal. Também se deve monitorar, durante esses testes, qualquer tentativa dos sistemas restaurados de se comunicar com domínios ou endereços suspeitos — o que pode indicar resquícios de malware.

A recuperação deve seguir uma ordem de prioridade, baseada na criticidade dos sistemas. Em geral, o primeiro a ser restaurado é o Active Directory, responsável por autenticar usuários e controlar acessos. Sem ele, nenhum sistema conectado à rede funciona corretamente. Em seguida, vêm os servidores de IP (como DHCP), que permitem que os dispositivos se comuniquem com a rede. Depois disso, os servidores de e-mail, fundamentais para a comunicação entre funcionários e com clientes. Na sequência, restauram-se bancos de dados principais, como ERP e CRM, que concentram as informações operacionais da empresa. Só depois de tudo isso, as estações de trabalho dos usuários são reintegradas, sempre com varreduras completas de antivírus e EDR.

Antes de liberar o acesso completo ao ambiente restaurado, é essencial fazer uma nova rodada de verificação de segurança. Isso inclui escaneamentos de vulnerabilidades com ferramentas como Nessus, OpenVAS ou Qualys, que detectam falhas de configuração ou brechas ainda existentes. Testes de invasão (ou pen tests) pontuais também são úteis para avaliar a robustez do novo ambiente. Outra medida importante é revisar as permissões de acesso de todos os usuários, removendo privilégios desnecessários e reforçando o princípio da separação de funções (SoD), para evitar que uma única pessoa tenha acesso completo a áreas críticas.

A reabertura das operações deve ocorrer somente após a aprovação conjunta das áreas de TI e de segurança da informação. Essa liberação formal marca o fim da recuperação técnica, mas não o fim do processo como um todo.

6. Fase 5 – Pós-incidente: aprendizado e fortalecimento

Com os sistemas restaurados e a operação retomada, é hora de olhar para trás e entender tudo o que aconteceu. O pós-incidente é uma fase de aprendizado, correção de erros e fortalecimento da segurança, com o objetivo de evitar que a mesma situação se repita.

A investigação forense é o primeiro passo. Usando ferramentas especializadas, como EnCase ou X-Ways Forensics, a equipe de segurança deve coletar registros detalhados de rede, cópias de memória (memory dumps) e imagens dos discos afetados. A partir desses dados, constrói-se uma linha do tempo do ataque: quando começou, como se espalhou, quais sistemas foram atingidos, que ações foram tomadas e quais falhas de segurança foram exploradas. Essa investigação gera um relatório técnico completo, que serve tanto como registro quanto como ferramenta para melhoria contínua.

Além da parte técnica, há também obrigações legais. No Brasil, a Lei Geral de Proteção de Dados (LGPD) determina que qualquer vazamento de dados pessoais deve ser reportado à Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas. Setores regulados, como o financeiro (BACEN) ou de saúde (ANVISA), também exigem notificações específicas. Por isso, o setor jurídico da empresa deve ser envolvido desde o início para avaliar as consequências legais e preparar os documentos necessários. Paralelamente, a diretoria deve receber um relatório executivo resumido, com os impactos financeiros, o tempo de inatividade, as ações tomadas e o plano de prevenção para o futuro.

O plano de resposta a incidentes também deve ser revisado e atualizado com base nas lições aprendidas. Isso inclui ajustar fluxos de decisão, modificar rotas de comunicação e ampliar a cobertura de treinamentos. Workshops e simulações adicionais são recomendados, especialmente em empresas que não estavam preparadas para o nível de complexidade enfrentado.

Por fim, a organização deve compartilhar as informações do ataque com outras empresas e instituições. Isso é feito por meio de plataformas de inteligência de ameaças, como MISP, ou serviços comerciais como Recorded Future e Anomali. Ao compartilhar os indicadores de comprometimento (IOCs), a empresa contribui para que outras organizações reconheçam e bloqueiem ataques semelhantes. A colaboração entre empresas é um dos fatores mais importantes para combater o avanço de ameaças digitais.

Conclusão

Responder a um ataque de ransomware nas primeiras horas não é uma tarefa simples, mas pode ser feita com eficiência se houver preparação, clareza nos processos e agilidade nas decisões. As cinco fases apresentadas — preparação, detecção e análise, contenção e erradicação, recuperação e pós-incidente — formam um roteiro consolidado com base em três das referências mais confiáveis no tema: o Microsoft Incident Response Playbook, o NIST SP 800-61 Rev. 2 e o modelo adaptado da Voicefy ao cenário brasileiro.

É importante entender que a segurança digital não é uma meta que se alcança e pronto. Ela é um processo contínuo de vigilância, aprendizado e adaptação. Testar rotinas, rever processos e manter os colaboradores conscientes é tão importante quanto ter boas ferramentas. No mundo atual, onde o ransomware pode afetar qualquer organização — de pequenas clínicas a instituições públicas — estar preparado é o melhor investimento que se pode fazer.

Referências

• Microsoft Incident Response Playbook para Ransomware (2025) https://learn.microsoft.com/pt-br/security/ransomware/incident-response-playbook-dart-ransomware-approach

• NIST SP 800-61 Rev. 2 – Computer Security Incident Handling Guide https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

• Voicefy – Estado do Ransomware 2025: Ameaças e estratégias de resposta https://voicefy.com.br/blog/estado-ransomware-2025-ameacas-estrategias

• CERT.br – Relatórios de incidentes de segurança https://www.cert.br/docs/

• ESET – 20 hábitos de cibersegurança para começar em 2025 https://www.eset.com/br/blog/cultura/20-habitos-de-ciberseguranca-para-comecar-em-2025/