Responder a um ataque de ransomware é, em essência, seguir uma sequência disciplinada: isolar os sistemas afetados (sem desligar bruscamente), acionar o plano de resposta a incidentes, preservar as evidências, identificar o escopo do que foi criptografado ou exfiltrado, não pagar o resgate por impulso, restaurar a partir de backups isolados e testados, notificar quando a LGPD exigir e, por fim, fazer o pós-incidente para corrigir a causa raiz. Cada passo evita um erro comum que costuma agravar o dano.
Ransomware é um tipo de ataque que criptografa seus dados e exige pagamento para liberá-los — muitas vezes acompanhado da ameaça de vazar informações roubadas. A pressão do momento faz muitas empresas errarem justamente nas primeiras horas, que são as mais decisivas. O passo a passo abaixo organiza a reação com frieza. Se ainda quer entender a ameaça em si, comece por o que é ransomware.
-
Passo 1: Isole os sistemas afetados
A primeira reação é conter a propagação. Desconecte da rede as máquinas comprometidas — cabo, Wi-Fi e VPN — para impedir que o ransomware se espalhe para outros servidores e estações. Mas não desligue bruscamente os equipamentos: um desligamento forçado pode destruir dados voláteis e evidências importantes para a análise depois. O objetivo aqui é frear o alastramento sem apagar rastros.
-
Passo 2: Acione o plano de resposta a incidentes e a equipe
Coloque em prática o plano de resposta a incidentes e mobilize quem precisa agir: equipe técnica, liderança e, se houver, o parceiro de segurança. Defina claramente quem coordena, quem comunica e quem executa a contenção. Um serviço de resposta a incidentes com plantão acelera muito a decisão nesse momento, porque as primeiras horas são as mais críticas para limitar o estrago.
-
Passo 3: Preserve as evidências
Não apague nada. Logs, imagens de disco, e-mails suspeitos e a própria nota de resgate são material essencial tanto para a análise forense quanto para eventuais obrigações da LGPD. Registre horários, ações tomadas e os sistemas afetados, montando uma cadeia de custódia confiável. Essa documentação sustenta a investigação e embasa qualquer notificação que venha a ser necessária.
-
Passo 4: Identifique o escopo do ataque
Antes de sair restaurando, entenda o tamanho do problema. Determine o que foi criptografado, quais sistemas foram atingidos e — ponto crítico — se houve exfiltração de dados, ou seja, cópia de informações para fora. Verifique especialmente se dados pessoais foram vazados, porque isso muda as obrigações legais. Um escopo bem mapeado orienta tanto a recuperação quanto a comunicação com as partes afetadas.
-
Passo 5: Não pague o resgate por impulso
A pressão para pagar é enorme, mas resista à decisão precipitada. Pagar não garante a recuperação dos dados, financia diretamente o crime e marca sua empresa como alvo pagador para novos ataques. Trate o pagamento como último recurso, avaliado com apoio técnico e jurídico, nunca como reação imediata. Na maioria dos casos, a restauração por backups é o caminho mais seguro e previsível.
-
Passo 6: Restaure a partir de backups isolados e testados
A recuperação depende de backups que o ataque não conseguiu alcançar. Restaure a partir de cópias isoladas da rede e verificadas, confirmando que não estão contaminadas. Reconstrua as máquinas limpas antes de reconectá-las ao ambiente, para não reinfectar tudo. É por isso que backups offline e testados com frequência fazem toda a diferença: sem eles, a restauração vira aposta.
-
Passo 7: Notifique quando exigido
Se houve vazamento de dados pessoais, a LGPD pode exigir a comunicação à ANPD e aos titulares afetados dentro de prazo razoável. Documente a avaliação de risco que embasa essa decisão e registre o que foi comunicado. Contar com apoio especializado ajuda a cumprir a obrigação com clareza, sem exposição desnecessária. Para se preparar antes, veja LGPD e segurança.
-
Passo 8: Faça o pós-incidente
Restaurar a operação é só metade do trabalho. Investigue a causa raiz — como o atacante entrou — e corrija a falha que permitiu o ataque, seja uma senha fraca, um sistema desatualizado ou um phishing bem-sucedido. Atualize o plano de resposta, aplique as correções e registre as lições aprendidas. O pós-incidente é o que reduz de verdade a chance de o problema se repetir.
O que o Argos entrega
É esse tipo de resposta que o Argos, o SOC com IA da NoBug, sustenta: monitoramento 24 horas com detecção e resposta apoiadas por IA, plantão para agir no incidente, análise forense para entender o que aconteceu e apoio à notificação da ANPD quando a LGPD exige. Os dados são tratados no Brasil e em conformidade com a LGPD. O foco é em médias e grandes empresas que querem reagir a um ataque com método, e não no improviso. Conheça em resposta a incidentes.