Ransomware é um tipo de malware (programa malicioso) que criptografa os seus dados — deixando arquivos, sistemas e servidores inacessíveis — e exige um resgate para devolver o acesso. Nas variantes modernas, o invasor também rouba uma cópia dos dados antes de criptografar e ameaça publicá-los se não for pago (a chamada dupla extorsão). O ataque não acontece de uma vez: ele passa por várias etapas silenciosas, e é aí que dá para detectar e conter — se houver alguém vigiando 24 horas.
Ransomware é hoje a ameaça digital que mais assusta empresas de todos os tamanhos — e por um bom motivo: quando o ataque se completa, a operação simplesmente para. Sistemas travam, arquivos ficam ilegíveis e uma mensagem aparece na tela pedindo pagamento, quase sempre em criptomoeda. A palavra vem de ransom, "resgate" em inglês. Mas entender o que é ransomware significa entender que ele é o final de um processo — e que existe uma janela inteira, antes disso, para interromper o ataque.
Como um ataque de ransomware funciona
Um ataque sério raramente é instantâneo. Ele costuma seguir uma sequência de etapas, e cada uma deixa sinais no ambiente:
- Entrada: o invasor consegue o primeiro acesso — uma senha vazada, um e-mail de phishing com anexo aberto, uma falha não corrigida em um sistema exposto.
- Movimentação lateral: por dentro da rede, ele explora, escala privilégios e procura o que interessa — servidores, controladores de domínio e, principalmente, os backups.
- Exfiltração: antes de criptografar, copia uma boa parte dos dados para fora. É essa cópia que sustenta a chantagem posterior.
- Criptografia: só então dispara a criptografia em massa, tornando arquivos e sistemas inacessíveis de uma vez — muitas vezes de madrugada ou no fim de semana.
- Extorsão: aparece o pedido de resgate. Se não pagar pela chave, o invasor ameaça vazar ou vender os dados roubados.
Essa combinação de sequestrar o acesso e ameaçar vazar o que foi roubado é a dupla extorsão — hoje o padrão dos grupos mais ativos. O ponto crítico para a defesa: entre a entrada e a criptografia final costumam se passar horas ou dias. É uma janela real para detectar e cortar o ataque antes do estrago.
Tipos comuns de ransomware
Nem todo ransomware age igual. Os formatos mais frequentes:
- Ransomware de criptografia: o mais comum. Embaralha os arquivos com criptografia forte e cobra pela chave de recuperação.
- Locker: em vez de mexer nos arquivos, bloqueia o acesso ao sistema ou ao dispositivo inteiro, impedindo o uso.
- Dupla extorsão: criptografa e rouba os dados, usando a ameaça de vazamento como segunda alavanca de pressão.
- Ransomware como serviço (RaaS): grupos criminosos "alugam" o ransomware pronto para outros aplicarem, o que multiplica o número de ataques oportunistas.
Como se proteger de ransomware
Não existe botão único. A proteção é feita de camadas que reduzem a chance de entrada e encurtam o tempo de reação:
- Backup na regra 3-2-1: três cópias dos dados, em dois tipos de mídia, com uma cópia fora do ambiente e isolada. Backup que o invasor consegue apagar ou criptografar não é backup.
- MFA (autenticação em dois fatores): senha vazada deixa de ser suficiente para entrar. Ative em e-mail, VPN, acessos remotos e sistemas críticos.
- Patch e atualização: boa parte das invasões usa falhas já conhecidas e sem correção. Manter tudo atualizado fecha as portas mais óbvias.
- Monitoramento 24h: como o ataque deixa rastros antes da criptografia, alguém precisa estar observando os sinais o tempo todo — inclusive de madrugada. É o papel de um SOC gerenciado.
Se você é uma empresa menor e quer um roteiro mais direto, veja o guia sobre ransomware em PMEs e como se proteger.
O que fazer se for atingido
Se o ataque se concretizou, os primeiros minutos importam. Em ordem de prioridade:
- Isolar: desconecte da rede as máquinas afetadas para conter a propagação — sem desligar às cegas, para não destruir evidências.
- Acionar a resposta a incidentes: um time de resposta a incidentes assume a contenção, investiga o que vazou e conduz a recuperação com método.
- Não pagar por impulso: pagar não garante a devolução dos dados, financia o crime e mira você como alvo recorrente. É uma decisão que precisa de análise, não de pânico.
- Cumprir a LGPD: se houve vazamento de dados pessoais, há obrigações de comunicação — à ANPD e aos titulares afetados — que precisam ser observadas dentro dos prazos.
Onde o Argos entra
O Argos é o SOC gerenciado 24h da NoBug: uma equipe humana somada a uma IA (a Alice) vigia seu ambiente sem parar e mira exatamente aquela janela antes da criptografia. Ele detecta os sinais de um ataque em andamento, faz bloqueio automático do que é ataque óbvio em segundos e aciona o plantão 24h por ligação quando o caso é grave. E os seus dados ficam hospedados no Brasil. Na prática: o ransomware perde a vantagem do silêncio, porque do seu lado tem sempre alguém acordado.
- Ransomware criptografa seus dados e exige resgate — e, na dupla extorsão, ainda ameaça vazá-los.
- O ataque tem etapas (entrada → movimentação → exfiltração → criptografia → extorsão), com uma janela real para detectar antes do estrago.
- Prevenção é camada: backup 3-2-1, MFA, patch e monitoramento 24h.
- Se for atingido: isolar, chamar resposta a incidentes, não pagar por impulso e cumprir a LGPD.