Gridinsoft Logo

O que é ransomware?

By Brendan Smith, Analista de cibersegurança na Gridinsoft (Mais de 15 anos em pesquisa de malware)
Last updated: April 29, 2026

Ransomware bloqueia arquivos, sistemas ou dados e exige pagamento para recuperação. Entenda como funciona, o que fazer primeiro e como evitar reinfecção.

  • Saltar para:
» Ransomware
Ransomware em termos simples

Ransomware em termos simples

Ransomware é um software malicioso que bloqueia arquivos, dispositivos ou sistemas corporativos e exige pagamento por uma chave de descriptografia ou para não vazar dados.

Quem pesquisa ransomware geralmente precisa entender a ameaça ou agir porque arquivos já começaram a ser bloqueados. Esta página cobre os dois cenários sem virar um arquivo de notícias.

O que é ransomware?

Ransomware é um tipo de malware usado para extorsão. Ele pode criptografar documentos, fotos, bancos de dados e backups, bloquear a tela ou roubar dados antes de pedir dinheiro. A nota de resgate costuma dizer que pagar é o único caminho, mas isso nem sempre é verdade e o pagamento não garante recuperação.

Ataques modernos muitas vezes vão além da criptografia. Criminosos podem roubar arquivos, ameaçar publicá-los, contatar funcionários ou clientes e pressionar a vítima a pagar rápido. Para usuários domésticos, o dano comum são arquivos pessoais criptografados. Para empresas, pode haver indisponibilidade, exposição de dados, obrigações legais e custos de recuperação.

Se você acha que o ransomware está ativo agora

  • Desconecte o dispositivo da rede. Remova o cabo Ethernet e desligue o Wi-Fi para limitar a propagação.
  • Não apague arquivos criptografados. Guarde amostras, notas de resgate e extensões para identificação.
  • Não pague com pressa. O pagamento pode falhar, financiar criminosos e transformar você em alvo recorrente.
  • Verifique backups seguros. Use versões offline ou em nuvem que não estavam conectadas durante a infecção.
  • Escaneie antes de restaurar. Remova o malware ativo antes de restaurar arquivos, ou eles podem ser criptografados novamente.

Como o ransomware funciona

Um incidente de ransomware costuma ter várias etapas. A nota de resgate visível é o final, não o começo do ataque.

  1. Acesso inicial. O invasor entra por anexo malicioso, download falso, acesso remoto exposto, senha roubada ou vulnerabilidade explorada.
  2. Execução. Um loader, script ou trojan inicia o ransomware ou baixa a carga final.
  3. Preparação. O malware pode desativar ferramentas de segurança, apagar cópias de sombra, parar serviços ou procurar pastas compartilhadas e backups.
  4. Criptografia ou bloqueio. Arquivos são criptografados ou o dispositivo é bloqueado. Muitos ataques deixam notas de resgate nas pastas afetadas.
  5. Extorsão. Criminosos exigem pagamento e podem ameaçar publicar dados roubados ou aumentar o preço após um prazo.

Sinais de alerta de ransomware

Alguns ataques parecem repentinos, mas muitas vezes há indícios antes de o dano ficar completo.

  • Arquivos aparecem com extensões estranhas ou deixam de abrir.
  • Pastas contêm notas como README.txt, RECOVER-FILES.html ou mensagens parecidas.
  • Ferramentas de segurança, backup ou restauração do sistema param de funcionar.
  • O computador fica lento enquanto a atividade do disco permanece alta.
  • Processos desconhecidos rodam a partir de pastas temporárias, downloads ou perfis de usuário.
  • Ferramentas de acesso remoto, scripts ou tarefas agendadas aparecem sem explicação.
  • Pastas compartilhadas ou unidades de rede começam a mudar ao mesmo tempo.

Remoção e recuperação de ransomware

A ordem segura é conter primeiro, limpar depois e recuperar por último. Restaurar arquivos antes de remover a infecção pode repetir o dano.

  1. Isole o dispositivo afetado. Desconecte-o da internet e da rede local. Se houver vários computadores envolvidos, separe-os rapidamente.
  2. Preserve evidências. Guarde notas de resgate, amostras criptografadas, e-mails suspeitos e capturas. Isso ajuda a identificar a família.
  3. Identifique a variante. Use extensões, nomes das notas e detecções do scanner para saber se pode existir descriptografador.
  4. Remova o malware. Execute uma verificação completa com ferramenta confiável e revise inicialização, tarefas agendadas, serviços e acesso remoto.
  5. Verifique opções de descriptografia. Procure em repositórios reputados antes de tomar medidas drásticas.
  6. Restaure de backups limpos. Restaure somente após limpar o sistema, de preferência em ambiente novo ou verificado.
  7. Troque credenciais expostas. Atualize senhas a partir de um dispositivo limpo, especialmente e-mail, nuvem, VPN, RDP e contas administrativas.

Para limpeza e prevenção no Windows, comece pelo fluxo anti-ransomware. Se houver sintomas mais amplos, use antes o fluxo de remoção de malware.

Arquivos de ransomware podem ser descriptografados?

Às vezes, mas nem sempre. A descriptografia gratuita pode ser possível se pesquisadores encontrarem uma falha, autoridades obtiverem chaves ou o malware tiver usado uma chave offline ou reutilizada. Com criptografia forte e chave online única, pode não haver ferramenta gratuita.

Antes de pagar ou formatar, verifique fontes confiáveis como No More Ransom e guarde amostras criptografadas. Mesmo sem solução hoje, chaves ou ferramentas podem aparecer no futuro para algumas famílias.

Tipos comuns de ransomware

Tipo O que faz
Ransomware criptografador Criptografa arquivos e exige pagamento por uma chave.
Locker ransomware Bloqueia o dispositivo ou a tela sem necessariamente criptografar cada arquivo.
Leakware ou doxware Rouba dados e ameaça publicá-los se a vítima não pagar.
Ransomware-as-a-Service Infraestrutura alugada a afiliados que executam ataques e dividem lucros.
Ransomware tipo wiper Parece ransomware, mas serve principalmente para destruir dados ou interromper operações.

Como o ransomware se espalha

Ransomware raramente aparece sem ponto de entrada. Os caminhos mais comuns são conhecidos, por isso a prevenção ainda funciona.

  • E-mails de phishing: anexos, links, faturas falsas, avisos de entrega ou solicitações para habilitar documentos.
  • Downloads maliciosos: cracks, keygens, instaladores falsos, falsas atualizações de navegador e software reempacotado.
  • Credenciais roubadas: senhas reutilizadas para e-mail, nuvem, VPN ou área de trabalho remota.
  • Acesso remoto exposto: RDP, VPN, monitoramento remoto ou ferramentas administrativas mal protegidas.
  • Software sem correção: servidores, plugins, CMS e appliances de rede vulneráveis.
  • Outro malware: trojans, droppers, spyware ou botnets que depois entregam ransomware.

Como se proteger contra ransomware

Boa defesa contra ransomware não é um único produto. É uma rotina em camadas: reduzir entradas, manter backups fora do alcance do invasor e detectar comportamento suspeito cedo.

  1. Mantenha backups offline ou imutáveis. Eles não devem ficar sempre graváveis pelo mesmo dispositivo que pode ser infectado.
  2. Atualize software rapidamente. Corrija Windows, navegadores, leitores de documentos, clientes VPN e sistemas expostos à internet.
  3. Use autenticação forte. Ative MFA em e-mail, nuvem, VPN, área de trabalho remota e contas administrativas.
  4. Limite acesso remoto. Desative RDP público quando possível e restrinja ferramentas administrativas a redes confiáveis.
  5. Bloqueie downloads arriscados. Evite cracks, instaladores piratas, gerenciadores desconhecidos e falsas atualizações.
  6. Observe sinais iniciais. Mudanças massivas de arquivos, segurança desativada e exclusão de cópias de sombra exigem atenção imediata.
  7. Use proteção anti-malware. Mantenha um scanner para verificações completas e limpeza após atividade suspeita.

Precisa verificar um PC com Windows?

Gridinsoft Anti-Malware procura ransomware, trojans, spyware, droppers e componentes de persistência que mantêm uma infecção ativa.

Escaneie com Gridinsoft Anti-Malware ou siga o fluxo anti-ransomware.

Famílias e exemplos de ransomware

As famílias mudam com o tempo, mas muitas técnicas se repetem. Estes exemplos ajudam na identificação e pesquisa:

  • LockBit - família ransomware-as-a-service muito conhecida.
  • Conti e Ryuk - operações historicamente importantes contra empresas.
  • Dharma - frequentemente associada a acesso remoto exposto e credenciais fracas.
  • Magniber, MedusaLocker e Snatch - exemplos com notas de resgate e comportamento de arquivos reconhecíveis.

Pesquisas recentes sobre ransomware

Perguntas Frequentes

O que é ransomware?
Ransomware é malware que bloqueia arquivos, dispositivos ou sistemas e exige pagamento para recuperação. Ele pode criptografar arquivos, bloquear a tela ou ameaçar publicar dados roubados.
O que devo fazer primeiro após um ataque de ransomware?
Desconecte o dispositivo da rede, preserve notas de resgate e amostras criptografadas, e não restaure backups antes de remover o malware ativo.
Devo pagar o resgate?
Órgãos de segurança geralmente recomendam não pagar. O pagamento não garante recuperação, pode financiar criminosos e tornar a vítima um alvo recorrente.
Arquivos criptografados por ransomware podem ser descriptografados grátis?
Às vezes. Um descriptografador gratuito pode existir se pesquisadores encontrarem uma falha, se autoridades obtiverem chaves ou se uma chave offline tiver sido usada. Não há garantia.
Como o ransomware infecta computadores?
Caminhos comuns incluem e-mails de phishing, downloads falsos, falsas atualizações, senhas roubadas, acesso remoto exposto, software sem correção e outros malwares.
O ransomware pode se espalhar pela rede?
Sim. Após comprometer um dispositivo, invasores podem usar pastas compartilhadas, credenciais roubadas, ferramentas remotas ou privilégios de administrador para alcançar outros sistemas.
Antivírus pode remover ransomware?
Ferramentas anti-malware podem remover o ransomware ativo e componentes relacionados, mas normalmente não descriptografam arquivos sem um descriptografador compatível.
Como posso me proteger contra ransomware?
Use backups offline ou imutáveis, mantenha software atualizado, ative MFA, limite acesso remoto, evite downloads arriscados e mantenha proteção anti-malware ativa.

References