Segurança Digital · Malware

Ransomware no computador pessoal: o que fazer com os arquivos sequestrados

Resposta rápida

Se seus arquivos foram criptografados e surgiu uma nota exigindo pagamento, você está diante de um ransomware. A ação imediata é isolar o computador da rede (Wi-Fi e cabo), sem desligá-lo abruptamente. Não pague o resgate: o pagamento não garante recuperação e financia o crime. Identifique a família no portal No More Ransom, que pode ter um decriptador gratuito, e tente restaurar de backups ou cópias de sombra antes de reinstalar o sistema.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.

Sinais de alerta

  • Extensões estranhas adicionadas aos arquivos (como .locked, .crypt ou sequências aleatórias) e documentos que não abrem mais.
  • Uma nota de resgate em texto ou HTML (por exemplo, README.txt ou DECRYPT_INSTRUCTIONS) aparece nas pastas e na área de trabalho.
  • O papel de parede da área de trabalho foi trocado por uma mensagem de cobrança com endereço de carteira ou prazo.
  • Lentidão súbita, atividade intensa de disco e o ventilador acelerado enquanto a criptografia ocorre em segundo plano.
  • Programas de backup, antivírus ou o Editor de Registro são bloqueados ou encerrados sozinhos.
  • Pastas compartilhadas, pen drives e discos externos conectados também apresentam arquivos criptografados.

Passo a passo — o que fazer

  1. 1

    1. Isole a máquina da rede

    Desconecte o cabo de rede e desative o Wi-Fi imediatamente para impedir que o ransomware alcance outros dispositivos, pastas compartilhadas e a nuvem. Retire também pen drives e HDs externos ainda não afetados. Não desligue o computador de forma abrupta: alguns ransomwares mantêm chaves de decriptação na memória, e o desligamento pode destruí-las.

  2. 2

    2. Não pague o resgate

    Pagar não garante que você receberá a chave, marca você como alvo disposto a pagar novamente e sustenta a operação criminosa. O CERT.br e a iniciativa No More Ransom recomendam não pagar. Em vez disso, registre tudo e busque alternativas técnicas de recuperação.

  3. 3

    3. Documente o incidente

    Fotografe a nota de resgate com o celular e anote a data, a hora e o que estava sendo feito quando os arquivos travaram. Guarde uma cópia da nota e de um arquivo criptografado de exemplo: esses dados ajudam a identificar a família e podem ser úteis em um boletim de ocorrência.

  4. 4

    4. Identifique a família do ransomware

    Acesse o portal No More Ransom (nomoreransom.org) e use a ferramenta Crypto Sheriff: envie um arquivo criptografado e a nota de resgate para descobrir qual família atacou. O site informa se já existe um decriptador gratuito disponível para aquela variante.

  5. 5

    5. Tente um decriptador gratuito

    Se o No More Ransom indicar uma ferramenta para a sua família de ransomware, baixe-a apenas do portal oficial e siga as instruções. Faça a recuperação a partir de uma cópia dos arquivos criptografados, nunca dos originais, para não perder a chance de uma tentativa futura caso algo dê errado.

  6. 6

    6. Restaure de backup ou cópias de sombra

    Se você tem backup offline ou em nuvem feito antes do ataque, restaure a partir dele em uma máquina já limpa. Verifique também as cópias de sombra do Windows (Versões anteriores no menu de propriedades da pasta), embora muitos ransomwares apaguem esses pontos de restauração.

  7. 7

    7. Reinstale o sistema com segurança

    Se não houver decriptador nem backup, a recomendação é formatar o disco e reinstalar o sistema operacional do zero para garantir a remoção completa da ameaça. Mantenha uma cópia dos arquivos criptografados em um disco separado, pois um decriptador para a família pode surgir no futuro.

  8. 8

    8. Troque suas senhas

    De outro dispositivo confiável, altere as senhas de e-mail, bancos e contas importantes e ative a verificação em duas etapas. O ransomware pode ter vindo acompanhado de malware que rouba credenciais armazenadas no navegador.

O que NÃO fazer

  • Não pague o resgate: não há garantia de receber a chave e o pagamento financia novos ataques.
  • Não reinicie nem desligue o computador de forma abrupta antes de avaliar a recuperação, para não perder chaves que possam estar na memória.
  • Não renomeie nem exclua os arquivos criptografados: eles podem ser recuperáveis por um decriptador no futuro.
  • Não baixe ferramentas de descriptografia de sites desconhecidos: muitas são golpes que infectam ainda mais a máquina.
  • Não conecte backups, pen drives ou discos externos ao computador infectado antes de limpá-lo, ou eles também serão criptografados.

O que é ransomware e como ele chega ao seu computador

Ransomware é um tipo de malware que criptografa os arquivos do computador e exige um pagamento, geralmente em criptomoedas, para liberar a chave de decriptação. Sem essa chave, fotos, documentos e planilhas ficam ilegíveis. Algumas famílias também roubam os dados antes de criptografar e ameaçam publicá-los, prática conhecida como dupla extorsão.

A infecção costuma começar por um anexo malicioso de e-mail, um link em mensagem de phishing, um programa pirata ou crackeado, ou uma vulnerabilidade em software desatualizado. Em computadores domésticos com acesso remoto exposto na internet, invasores também exploram senhas fracas para entrar e disparar o ataque manualmente.

Entender o vetor de entrada ajuda a evitar a reinfecção: de nada adianta restaurar os arquivos se a mesma porta continuar aberta. Por isso, identificar como o ransomware chegou é parte da resposta, não apenas a recuperação dos dados.

Quando o problema é maior que um computador pessoal

Em uma residência, um ataque de ransomware afeta uma ou poucas máquinas. Em uma empresa, o mesmo malware pode se propagar pela rede, criptografar servidores, paralisar a operação e expor dados de clientes, com impacto financeiro e legal sob a LGPD. A lógica de resposta muda de escala: já não basta isolar um PC, é preciso conter, investigar a origem e restaurar serviços inteiros sem reintroduzir a ameaça.

É nesse ponto que a Decripte atua. Somos uma empresa de cibersegurança que atende organizações de todos os portes, de 1 a mais de 100.000 colaboradores, com resposta a incidentes de ransomware: contenção, identificação da família, recuperação a partir de backups e fechamento das brechas que permitiram a invasão. Há um plano gratuito para você começar a proteger seu ambiente, e a equipe entra em ação quando um incidente acontece. Fale com a Decripte para avaliar a proteção da sua empresa contra ransomware.

Cuida da segurança de uma empresa?

Veja de graça o que já vazou do seu negócio.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.

Comece grátis agora

Como recuperar os arquivos sem ceder à extorsão

A melhor chance de recuperação está fora do alcance do ransomware: um backup feito antes do ataque e guardado offline ou em nuvem. Restaurar a partir dele, em uma máquina já limpa, devolve os dados sem qualquer contato com os criminosos. Por isso o backup regular é a defesa mais eficaz contra esse tipo de ameaça.

Quando não há backup, o portal No More Ransom, mantido por forças policiais europeias e empresas de segurança, reúne decriptadores gratuitos para dezenas de famílias de ransomware. Envie um arquivo criptografado e a nota de resgate ao Crypto Sheriff para verificar se a sua variante tem solução. Nem toda família é decriptável, mas vale a tentativa antes de desistir dos dados.

Se nenhuma dessas vias funcionar, guarde os arquivos criptografados em um disco separado e parta para a reinstalação limpa do sistema. Decriptadores novos são lançados com frequência conforme chaves são apreendidas em operações policiais, então arquivos que parecem perdidos hoje podem ser recuperados meses depois.

Como evitar um próximo ataque de ransomware

Mantenha backups regulares e seguindo a regra 3-2-1: três cópias dos dados, em dois tipos de mídia, sendo uma fora do local e desconectada da rede. Um backup que fica permanentemente plugado pode ser criptografado junto com o resto. Teste periodicamente se a restauração realmente funciona.

Mantenha o sistema operacional e os programas atualizados, pois muitos ransomwares exploram falhas já corrigidas pelos fabricantes. Use um antivírus ativo, desconfie de anexos e links inesperados, evite softwares piratas e ative a verificação em duas etapas nas contas importantes, conforme orientam o CERT.br e o NIST em suas diretrizes de higiene digital.

Por fim, reduza a superfície de ataque: não exponha serviços de acesso remoto diretamente à internet, use senhas longas e únicas com um gerenciador de senhas e limite o uso de contas com privilégios de administrador no dia a dia. Camadas simples de proteção dificultam que um clique errado vire um desastre.

Termos importantes

Ransomware
Malware que criptografa os arquivos da vítima e exige pagamento de resgate para fornecer a chave que os torna legíveis novamente.
Decriptador
Ferramenta que reverte a criptografia de uma família específica de ransomware. Quando disponível no No More Ransom, é gratuita e oficial.
Cópias de sombra
Pontos de restauração automáticos do Windows (Volume Shadow Copy) que guardam versões anteriores de arquivos. Muitos ransomwares tentam apagá-los.
Dupla extorsão
Tática em que o criminoso rouba os dados antes de criptografá-los e ameaça publicá-los caso o resgate não seja pago.

Perguntas frequentes

Pagar o resgate garante que eu recupere meus arquivos?

Não. Não há garantia de que os criminosos enviarão a chave funcional, e muitas vítimas pagam sem recuperar nada. Além disso, o pagamento financia novos ataques e sinaliza você como um alvo disposto a pagar de novo. CERT.br e No More Ransom recomendam não pagar.

Como descubro qual ransomware infectou meu computador?

Use a ferramenta Crypto Sheriff no portal No More Ransom (nomoreransom.org). Você envia um arquivo criptografado e a nota de resgate, e o site identifica a família e informa se existe um decriptador gratuito para ela.

Devo desligar o computador imediatamente ao perceber o ataque?

Desligue da rede sim, mas evite desligar a máquina de forma abrupta. Alguns ransomwares mantêm a chave de criptografia na memória, e o desligamento pode destruí-la, eliminando uma possível via de recuperação. Desconecte cabo e Wi-Fi e mantenha o computador ligado enquanto avalia as opções.

É possível recuperar os arquivos sem backup?

Às vezes. Se a família tiver um decriptador gratuito no No More Ransom, sim. Também vale checar as cópias de sombra do Windows. Se nada funcionar, guarde os arquivos criptografados, pois novos decriptadores surgem conforme operações policiais apreendem chaves.

O antivírus remove o ransomware e devolve meus arquivos?

O antivírus pode remover o malware e impedir mais danos, mas remover a ameaça não descriptografa os arquivos já bloqueados. A recuperação depende de backup, de um decriptador ou das cópias de sombra. Por isso, limpar a máquina e restaurar os dados são etapas distintas.

Preciso formatar o computador depois de um ataque?

Se não houver decriptador nem backup, formatar e reinstalar o sistema é a forma mais segura de garantir que a ameaça foi totalmente removida. Antes disso, copie os arquivos criptografados para um disco separado, caso surja um decriptador no futuro.

Ransomware em empresa é diferente do ataque a um PC pessoal?

Sim. Na empresa, o ransomware tende a se espalhar pela rede, atingir servidores, parar a operação e expor dados de clientes, com implicações legais sob a LGPD. A resposta exige contenção, investigação e recuperação coordenadas. A Decripte atende organizações de 1 a mais de 100.000 colaboradores nesse tipo de incidente, com um plano gratuito para começar.

Como reduzo o risco de um próximo ataque?

Mantenha backups offline pela regra 3-2-1, atualize sistema e programas, use antivírus, desconfie de anexos e links, evite softwares piratas, ative a verificação em duas etapas e não exponha acesso remoto à internet. Essas práticas seguem as orientações do CERT.br e do NIST.

Segurança para empresas

A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.