O protocolo de emergência para ransomware começa no momento exato em que alguém percebe o ataque — e cada hora que passa sem as ações corretas reduz as chances de recuperação. Além disso, a maioria dos erros graves acontece exatamente nas primeiras horas, quando a equipe está em pânico e agindo no improviso. Neste guia, você tem o protocolo hora a hora para executar com precisão.

Por que o horário do ataque importa

Os grupos criminosos escolhem a madrugada com intenção. Às 3h da manhã, não há equipe de TI de plantão, o monitoramento é reduzido e a pressão para “resolver rápido” no dia seguinte faz as equipes tomarem decisões ruins. Por isso, ter o protocolo documentado antes do ataque é tão importante quanto ter o backup.

Contudo, o horário do ataque não define o resultado. O que define é o que a equipe faz — ou deixa de fazer — nas primeiras horas.

Hora 0: você percebe o ataque

Neste momento, a ação mais importante é simples: não entre em pânico e não faça nada ainda. Afinal, uma ação errada nos primeiros minutos pode destruir evidências e dados que ainda existem.

Faça exatamente isto:

Primeiro: confirme que é ransomware. A tela com nota de resgate, arquivos com extensão desconhecida ou sistemas inacessíveis são os sinais clássicos. Contudo, não abra arquivos suspeitos tentando “ver o que aconteceu”.

Segundo: acione as pessoas certas. Ligue para o responsável de TI, o CEO e — se já tiver — para a empresa de recuperação de dados. Não espere o amanhecer para isso.

Terceiro: documente tudo. Fotografe a tela com a nota de resgate, anote o horário exato e registre quais sistemas já apresentam sintomas. Essa documentação vai suportar o processo de LGPD depois.

Hora 0 a 1: isolamento sem destruição

O isolamento é obrigatório — mas precisa ser feito do jeito certo. Dessa forma, você para a propagação do malware sem destruir evidências ou dados que ainda existem.

O que fazer:

  • Desconecte os servidores e estações afetadas da rede — cabo e Wi-Fi
  • Não desligue os servidores abruptamente ainda. O ransomware em execução pode estar em memória, e a análise forense pode recuperar a chave da memória RAM em alguns casos
  • Bloqueie o acesso de VPN, RDP e outros acessos remotos imediatamente
  • Preserve os servidores de backup — desconecte-os da rede antes que o malware os alcance

O que nunca fazer neste momento:

  • Não reinicie nenhum servidor afetado
  • Não execute antivírus sobre os servidores comprometidos
  • Não tente abrir os arquivos criptografados
  • Não delete arquivos suspeitos achando que vai “limpar” o ambiente

Hora 1 a 2: análise e decisão

Com o ambiente isolado, começa a fase de análise. Por isso, acione imediatamente uma empresa de recuperação de dados especializada em ransomware.

A Crowdertech atende emergências 24 horas. Em casos assim, o diagnóstico remoto ou presencial começa nas primeiras horas após o chamado. Dessa forma, você tem uma avaliação técnica real — percentual de recuperação, tempo estimado, viabilidade de recuperação sem pagar resgate — antes de tomar qualquer decisão.

Nesta fase, a equipe interna deve:

  • Identificar quais sistemas foram afetados e quais ainda estão íntegros
  • Verificar os backups: existem? Estão acessíveis? Não foram criptografados?
  • Documentar todos os sistemas afetados com print e data/hora
  • Comunicar a liderança sobre o impacto operacional

Hora 2 a 4: não negocie, preserve

A nota de resgate vai dizer que você tem X horas para pagar antes de o valor dobrar. Contudo, essa pressão é psicológica e faz parte do ataque. Não pague e não negocie.

Além disso, enquanto o especialista de recuperação analisa o ambiente, a equipe de TI deve preservar ao máximo:

  • Mantenha os servidores desligados após a confirmação do especialista
  • Não reinstale sistemas operacionais nos servidores afetados
  • Não formate nenhum volume
  • Se houver RAID, não force rebuild em hipótese alguma

Hora 4 em diante: recuperação técnica

Com o diagnóstico concluído, a Crowdertech aplica engenharia reversa ao padrão de cifragem do ransomware. Portanto, identificamos as áreas preservadas nos bancos de dados, discos virtuais e storages — e extraímos os dados sem depender da chave do atacante.

Paralelamente, a equipe interna deve:

  • Preparar o processo de comunicação à ANPD se dados pessoais foram afetados
  • Acionar o seguro cibernético se existir
  • Documentar o incidente para o laudo técnico

O checklist do protocolo de emergência

Para fixar, salve este checklist:

  • Fotografar a tela da nota de resgate
  • Anotar horário exato do ataque
  • Ligar para especialista de recuperação de dados
  • Isolar da rede — sem desligar ainda
  • Bloquear VPN e RDP
  • Proteger os backups
  • Não pagar, não negociar, não reiniciar
  • Documentar sistemas afetados
  • Aguardar diagnóstico antes de qualquer ação

Perguntas frequentes sobre emergência de ransomware

Devo desligar os servidores imediatamente? Não imediatamente. Primeiro isole da rede. O desligamento só acontece após orientação do especialista — porque a memória RAM pode conter informações forenses valiosas para a recuperação.

E se o ataque aconteceu há horas e eu só descobri agora? Acione imediatamente um especialista mesmo assim. O estado atual do ambiente ainda pode permitir recuperação significativa. Cada ação errada a partir de agora é que vai reduzir as chances.

Como sei se o backup foi comprometido? Desconecte o backup da rede antes de verificar. Acesse-o de uma máquina limpa e verifique se os arquivos abrem normalmente. Se o backup também está criptografado, ainda há caminhos de recuperação forense.

A Crowdertech atende às 3h da manhã? Sim. O número de emergência é (11) 99630-0675, disponível 24 horas por dia, 7 dias por semana, incluindo feriados.

Conclusão

O protocolo de emergência para ransomware define se os dados voltam ou se a empresa perde tudo. Em resumo, isole sem destruir, não pague e acione especialistas imediatamente. Sofreu um ataque agora? Ligue para a Crowdertech — (11) 99630-0675 — e receba diagnóstico em até 2 horas.

Fontes: CISA StopRansomware · No More Ransom.