Início / Recursos / Como responder a um ataque de ransomware
Guia · Resposta a incidentes

Como responder a um ataque de ransomware: passo a passo

Um roteiro claro para reagir a um ataque de ransomware sem piorar a situação — do isolamento dos sistemas afetados ao pós-incidente, com atenção às evidências e à LGPD.

Atualizado em julho de 2026 · por NoBug Tecnologia · 6 min de leitura

Resposta rápida

Responder a um ataque de ransomware é, em essência, seguir uma sequência disciplinada: isolar os sistemas afetados (sem desligar bruscamente), acionar o plano de resposta a incidentes, preservar as evidências, identificar o escopo do que foi criptografado ou exfiltrado, não pagar o resgate por impulso, restaurar a partir de backups isolados e testados, notificar quando a LGPD exigir e, por fim, fazer o pós-incidente para corrigir a causa raiz. Cada passo evita um erro comum que costuma agravar o dano.

Ransomware é um tipo de ataque que criptografa seus dados e exige pagamento para liberá-los — muitas vezes acompanhado da ameaça de vazar informações roubadas. A pressão do momento faz muitas empresas errarem justamente nas primeiras horas, que são as mais decisivas. O passo a passo abaixo organiza a reação com frieza. Se ainda quer entender a ameaça em si, comece por o que é ransomware.

  1. Passo 1: Isole os sistemas afetados

    A primeira reação é conter a propagação. Desconecte da rede as máquinas comprometidas — cabo, Wi-Fi e VPN — para impedir que o ransomware se espalhe para outros servidores e estações. Mas não desligue bruscamente os equipamentos: um desligamento forçado pode destruir dados voláteis e evidências importantes para a análise depois. O objetivo aqui é frear o alastramento sem apagar rastros.

  2. Passo 2: Acione o plano de resposta a incidentes e a equipe

    Coloque em prática o plano de resposta a incidentes e mobilize quem precisa agir: equipe técnica, liderança e, se houver, o parceiro de segurança. Defina claramente quem coordena, quem comunica e quem executa a contenção. Um serviço de resposta a incidentes com plantão acelera muito a decisão nesse momento, porque as primeiras horas são as mais críticas para limitar o estrago.

  3. Passo 3: Preserve as evidências

    Não apague nada. Logs, imagens de disco, e-mails suspeitos e a própria nota de resgate são material essencial tanto para a análise forense quanto para eventuais obrigações da LGPD. Registre horários, ações tomadas e os sistemas afetados, montando uma cadeia de custódia confiável. Essa documentação sustenta a investigação e embasa qualquer notificação que venha a ser necessária.

  4. Passo 4: Identifique o escopo do ataque

    Antes de sair restaurando, entenda o tamanho do problema. Determine o que foi criptografado, quais sistemas foram atingidos e — ponto crítico — se houve exfiltração de dados, ou seja, cópia de informações para fora. Verifique especialmente se dados pessoais foram vazados, porque isso muda as obrigações legais. Um escopo bem mapeado orienta tanto a recuperação quanto a comunicação com as partes afetadas.

  5. Passo 5: Não pague o resgate por impulso

    A pressão para pagar é enorme, mas resista à decisão precipitada. Pagar não garante a recuperação dos dados, financia diretamente o crime e marca sua empresa como alvo pagador para novos ataques. Trate o pagamento como último recurso, avaliado com apoio técnico e jurídico, nunca como reação imediata. Na maioria dos casos, a restauração por backups é o caminho mais seguro e previsível.

  6. Passo 6: Restaure a partir de backups isolados e testados

    A recuperação depende de backups que o ataque não conseguiu alcançar. Restaure a partir de cópias isoladas da rede e verificadas, confirmando que não estão contaminadas. Reconstrua as máquinas limpas antes de reconectá-las ao ambiente, para não reinfectar tudo. É por isso que backups offline e testados com frequência fazem toda a diferença: sem eles, a restauração vira aposta.

  7. Passo 7: Notifique quando exigido

    Se houve vazamento de dados pessoais, a LGPD pode exigir a comunicação à ANPD e aos titulares afetados dentro de prazo razoável. Documente a avaliação de risco que embasa essa decisão e registre o que foi comunicado. Contar com apoio especializado ajuda a cumprir a obrigação com clareza, sem exposição desnecessária. Para se preparar antes, veja LGPD e segurança.

  8. Passo 8: Faça o pós-incidente

    Restaurar a operação é só metade do trabalho. Investigue a causa raiz — como o atacante entrou — e corrija a falha que permitiu o ataque, seja uma senha fraca, um sistema desatualizado ou um phishing bem-sucedido. Atualize o plano de resposta, aplique as correções e registre as lições aprendidas. O pós-incidente é o que reduz de verdade a chance de o problema se repetir.

O que o Argos entrega

É esse tipo de resposta que o Argos, o SOC com IA da NoBug, sustenta: monitoramento 24 horas com detecção e resposta apoiadas por IA, plantão para agir no incidente, análise forense para entender o que aconteceu e apoio à notificação da ANPD quando a LGPD exige. Os dados são tratados no Brasil e em conformidade com a LGPD. O foco é em médias e grandes empresas que querem reagir a um ataque com método, e não no improviso. Conheça em resposta a incidentes.

Sob ataque agora ou quer se preparar?

A gente entende seu ambiente numa conversa rápida e te mostra como o Argos coloca sua empresa sob vigilância 24h — com IA, dados no Brasil e resposta ativa a incidentes.