Ir para o conteúdo
Menu Menu Menu

Logo NIC.br Logo CERT.br

Ransomware: Como Responder

Autor: CERT.br
Versão: 1.0 — 28 de julho de 2025

Veja também

Ransomware: Como Acontece

Ransomware: Como se Proteger

Ransomware: Como Detectar

Folheto para download

Sumário

Introdução

Uma vez detectados indícios de ataque de ransomware, é preciso agir rapidamente para conter seu avanço, eliminar a presença do atacante, erradicar a causa raiz da invasão, restaurar o ambiente e retornar à operação normal.

Falhas na remoção de malware, na eliminação dos acessos usados pelo atacante ou na correção das falhas exploradas pelo atacante podem levar a novos ataques e mais prejuízos.

Este documento aborda a parte técnica da resposta a ataques de ransomware. Questões relativas à realização de notícia crime, e à negociação e ao pagamento de resgate devem fazer parte do Plano de Resposta a Incidentes, mas não serão tratadas aqui pois envolvem decisões jurídicas e de negócio, que não fazem parte do escopo deste documento.

Cabe ressaltar, entretanto, que o pagamento do resgate não evita novas tentativas de extorsão, nem garante a recuperação total ou a confidencialidade dos dados. Além disso, o dinheiro do resgate pode financiar e incentivar atividades ilegais dos atacantes.

O Infográfico "Ransomware: Como responder" ilustra as principais recomendações, detalhadas a seguir. Dependendo do ambiente da empresa e do tipo de ransomware, essas recomendações podem ser realizadas simultaneamente, em outra ordem ou não ser aplicáveis.

Infográfico Ransomware: Como Responder
Infográfico Ransomware: Como responder

Ícone Seguir o Plano de Resposta a Incidentes 1. Seguir o Plano de Resposta a Incidentes

Deixar para pensar em como responder a um ataque de ransomware apenas quando o problema acontecer pode atrasar ações e decisões, exigir maior esforço de recuperação, acarretar em mais tempo de inatividade, trazer mais prejuízos e deixar falhas não resolvidas que podem levar a novos ataques.

  • Tenha um Plano de Resposta a Incidentes.
  • Defina nele os contatos que devem ser envolvidos, incluindo:
    • quem deve ser comunicado primeiro, para iniciar a resposta;
    • quem decide sobre ações técnicas que podem afetar a operação da empresa, como desligar equipamentos e bloquear acessos;
    • quais provedores de serviços precisam ser acionados, por exemplo, de armazenamento em nuvem, soluções de software, suporte e segurança;
    • quem precisa ser notificado na alta gestão e na assessoria jurídica, para tratar das decisões regulatórias e de negócio e, nos casos aplicáveis, do contato com a seguradora e das questões relativas à notificação de autoridades competentes e ao pedido de resgate.
  • Defina e documente também:
    • as funções que funcionários e terceiros devem exercer;
    • os requisitos e prazos de notificação de incidentes ao órgão regulador, por exemplo, em caso de vazamento de dados;
    • os procedimentos para acionar a seguradora em caso de sinistro;
    • os passos de resposta ao incidente a serem seguidos (veja mais a seguir).
  • Treine os contatos definidos no Plano de Resposta a Incidentes para que saibam desempenhar suas tarefas.
  • Documente as ações tomadas e as informações coletadas.

Uma maneira de determinar quem deve ser envolvido e qual o seu papel é reunir pessoal técnico, jurídico e de gestão e, em conjunto, discutir um cenário de ataque de ransomware e identificar as respostas para todos os tópicos discutidos neste documento. Algumas empresas optam por realizar exercício no estilo Table Top para simular um ataque e verificar se todos saberiam o que fazer.

A documentação da resposta ao incidente contribui para entender o ataque, alinhar as equipes envolvidas, corrigir falhas e atualizar o Plano de Resposta a Incidentes. Ela também pode ser necessária, juntamente com as evidências coletadas dos equipamentos comprometidos, em casos de investigações policiais ou para atender a exigências de conformidade, como a notificação a um órgão regulador.

Ícone Conter o ataque 2. Conter o ataque

O primeiro passo na resposta a um ataque de ransomware é conter a progressão do ataque, para reduzir o impacto na empresa. São parte da contenção proteger sistemas que ainda não foram comprometidos e isolar sistemas já afetados, de forma a reganhar o controle.

2.1. Proteger os sistemas não comprometidos

Proteger áreas compartilhadas e desligar sistemas não comprometidos evita que eles sejam infectados, o que ajuda a conter o ataque, reduz a perda de dados e facilita o retorno das atividades.

  • Priorize o isolamento e a proteção dos sistemas e dados críticos para a operação do negócio, em especial backups, pois são essenciais para a recuperação do ambiente.
  • Desconecte ou restrinja as permissões de escrita em sistemas de armazenamento e compartilhamento de arquivos em rede, como NAS e serviços de nuvem.
  • Desligue equipamentos ainda não afetados:
    • se não for possível desligá-los, desconecte-os da rede.

2.2. Isolar os sistemas já comprometidos

Isolar os sistemas já comprometidos faz com que o atacante perca conexão à rede, interrompe a cadeia de ataque e cessa a exfiltração de dados e a propagação do ransomware para outros sistemas.

  • Desconecte:
    • equipamentos comprometidos da rede cabeada e de outros tipos de conexões, como Wi-Fi, bluetooth e celular;
    • dispositivos externos conectados aos equipamentos comprometidos, como discos e pen-drives, para evitar que sejam afetados.
  • Interrompa e bloqueie conexões maliciosas detectadas, por exemplo, para servidores de C2.
  • Preserve as evidências, se possível:
    • faça dump de memória dos equipamentos comprometidos;
    • faça um snapshot de sistemas virtuais e de volumes de armazenamento de nuvem.
  • Procure coletar todos os dados necessários antes de alterar os sistemas comprometidos, pois qualquer modificação pode destruir informações importantes para análise e recuperação.

Embora medidas de contenção sejam essenciais para controlar o ataque, elas podem alertar o atacante sobre a detecção e acionar mecanismos programados para, por exemplo, dificultar a recuperação do ambiente, Excluir Arquivos e acelerar a Cifragem dos Dados.

Ícone Identificar o <i>ransomware</i> 3. Identificar o ransomware

Identificar o ransomware ajuda a entender o comportamento do malware, descobrir sistemas afetados, corrigir vulnerabilidades e avaliar opções de recuperação de dados.

  • Analise, por exemplo, as informações da nota de resgate, a extensão dos arquivos criptografados ou, se tiver, o dump de memória dos equipamentos comprometidos.
  • Busque, em fontes confiáveis, se há decifradores disponíveis:
    • decifradores podem ser uma alternativa para recuperação dos dados, caso os backups estejam inacessíveis ou corrompidos.

Exemplos de projetos que auxiliam a identificar decifradores de ransomware são:

Ícone Analisar as informações coletadas 4. Analisar as informações coletadas

Logs de ferramentas de proteção e evidências coletadas dos sistemas comprometidos, quando analisadas em conjunto e enriquecidas com informações sobre o ransomware, podem revelar elementos-chave para determinar a causa raiz do comprometimento e dimensionar a extensão do incidente.

  • Pesquise sobre o ransomware em fontes especializadas, como boletins e alertas de segurança, para descobrir os indicadores de comprometimento (IoC) e as técnicas e ferramentas usadas pelos atacantes.
  • Relacione as evidências coletadas nos sistemas comprometidos, os logs de rede e das ferramentas de proteção e as informações sobre o ransomware, caso ele tenha sido identificado, e busque determinar:
    • o ponto de entrada na rede;
    • os detalhes da infecção inicial;
    • a data de início do incidente;
    • os dados exfiltrados;
    • as conexões feitas pelo atacante;
    • os sistemas para onde o malware se propagou;
    • outros sistemas usados pelo atacante, por exemplo, para transferência de dados, persistência e C2.
  • Identifique a causa raiz do comprometimento da empresa, ou seja, como foi o acesso inicial, se houve credenciais comprometidas e porquê, e quais vulnerabilidades foram exploradas. Corrigir os problemas encontrados é essencial para evitar novos comprometimentos.
  • Se identificar novos sistemas comprometidos, aplique as ações listadas em no item "2.2. Isolar os sistemas já comprometidos".

Caso dados pessoais tenham sido exfiltrados e possa haver dano relevante aos titulares, um relatório completo com a descrição do incidente, incluindo a causa raiz e quais medidas foram adotadas para corrigir as causas do incidente, deve ser fornecido para a Autoridade Nacional de Proteção de Dados (ANPD). Para detalhes, consulte a Resolução 15/2024 da ANPD.

Ícone Eliminar o <i>ransomware</i> 5. Eliminar o ransomware

Apenas remover o malware não basta para garantir a recuperação completa do ambiente. É necessário eliminar todos os resquícios deixados pelo atacante, como alterações de configuração e mecanismos de Persistência e C2.

Por isso, para garantir a erradicação completa das ações do atacante, a abordagem mais segura é a reinstalação e reconfiguração dos sistemas afetados.

  • Reinstale os sistemas comprometidos, usando fontes confiáveis.
  • Aplique todas as atualizações, em especial as de segurança.
  • Assegure-se de corrigir a falha que permitiu a entrada do atacante:
    • se não for possível corrigi-la, adote medidas de mitigação.

Mais detalhes sobre configuração segura dos sistemas estão disponíveis em "Ransomware: Como se Proteger".

Ícone Trocar senhas e revisar acessos 6. Trocar senhas e revisar acessos

Para impedir que o atacante retorne à rede usando credenciais comprometidas, é importante forçar a troca de senhas e reforçar a proteção às contas.

  • Troque as senhas de todas as contas:
    • assuma que foram comprometidas e não são confiáveis;
    • priorize as contas suspeitas de terem sido comprometidas e as com acessos privilegiados.
  • Elimine privilégios eventualmente adicionados pelo atacante.
  • Bloqueie ou exclua contas criadas ou reativadas pelo atacante.
  • Habilite a autenticação multifator (MFA) nas contas:
    • garanta que ela esteja ativa onde necessário, pois o atacante pode tê-la desativado.

Ícone Restaurar os dados e a conectividade 7. Restaurar os dados e a conectividade

Após os sistemas reinstalados e reconfigurados, é o momento de restaurar os dados e conectar novamente os equipamentos à rede.

Para evitar reinfecção não intencional, é importante garantir que os dados recuperados estejam íntegros e que entre eles não existam cópias do malware, de outras ferramentas ou de modificações em configurações feitas pelo atacante.

  • Recupere os dados de backups confiáveis, de preferência de cópias offline.
  • Se os backups não estiverem disponíveis ou não forem confiáveis, verifique se há decifradores disponíveis (ver a fase "3. Identificar o ransomware"):
    • se não conseguir decifrar os dados, procure refazê-los usando os recursos disponíveis, como e-mails ou repositórios externos.
  • Exclua medidas de contenção que tenham sido aplicadas.
  • Refaça as conexões de rede.

Ícone Melhorar o ambiente com as lições aprendidas 8. Melhorar o ambiente com as lições aprendidas

Com a fase crítica superada e a operação retomada, é o momento de intensificar a vigilância, analisar mais profundamente o incidente e reforçar as medidas de segurança, para garantir que os problemas foram realmente resolvidos e evitar a ocorrência de novos incidentes.

  • Reforce a monitoração e os controles de detecção indicados em "Ransomware: Como Detectar".
  • Faça um relatório do incidente, consolidando o que foi documentado nas fases anteriores, em especial as ações tomadas, as evidências preservadas e as informações coletadas.
  • Atualize o Plano de Resposta a Incidentes, considerando:
    • o que funcionou, mas precisa ser ajustado;
    • o que não funcionou e precisa ser corrigido;
    • o que faltou e precisa ser adicionado.
  • Aproveite a experiência para reforçar as medidas preventivas indicadas em "Ransomware: Como se Proteger", em especial:
    • atualizar sistemas ou substituir soluções obsoletas;
    • melhorar a proteção e monitoração de redes e sistemas críticos;
    • reforçar a equipe de segurança;
    • investir em treinamento e conscientização.