O protocolo de emergência para ransomware começa no momento exato em que alguém percebe o ataque — e cada hora que passa sem as ações corretas reduz as chances de recuperação. Além disso, a maioria dos erros graves acontece exatamente nas primeiras horas, quando a equipe está em pânico e agindo no improviso. Neste guia, você tem o protocolo hora a hora para executar com precisão.
Por que o horário do ataque importa
Os grupos criminosos escolhem a madrugada com intenção. Às 3h da manhã, não há equipe de TI de plantão, o monitoramento é reduzido e a pressão para “resolver rápido” no dia seguinte faz as equipes tomarem decisões ruins. Por isso, ter o protocolo documentado antes do ataque é tão importante quanto ter o backup.
Contudo, o horário do ataque não define o resultado. O que define é o que a equipe faz — ou deixa de fazer — nas primeiras horas.
Hora 0: você percebe o ataque
Neste momento, a ação mais importante é simples: não entre em pânico e não faça nada ainda. Afinal, uma ação errada nos primeiros minutos pode destruir evidências e dados que ainda existem.
Faça exatamente isto:
Primeiro: confirme que é ransomware. A tela com nota de resgate, arquivos com extensão desconhecida ou sistemas inacessíveis são os sinais clássicos. Contudo, não abra arquivos suspeitos tentando “ver o que aconteceu”.
Segundo: acione as pessoas certas. Ligue para o responsável de TI, o CEO e — se já tiver — para a empresa de recuperação de dados. Não espere o amanhecer para isso.
Terceiro: documente tudo. Fotografe a tela com a nota de resgate, anote o horário exato e registre quais sistemas já apresentam sintomas. Essa documentação vai suportar o processo de LGPD depois.
Hora 0 a 1: isolamento sem destruição
O isolamento é obrigatório — mas precisa ser feito do jeito certo. Dessa forma, você para a propagação do malware sem destruir evidências ou dados que ainda existem.
O que fazer:
- Desconecte os servidores e estações afetadas da rede — cabo e Wi-Fi
- Não desligue os servidores abruptamente ainda. O ransomware em execução pode estar em memória, e a análise forense pode recuperar a chave da memória RAM em alguns casos
- Bloqueie o acesso de VPN, RDP e outros acessos remotos imediatamente
- Preserve os servidores de backup — desconecte-os da rede antes que o malware os alcance
O que nunca fazer neste momento:
- Não reinicie nenhum servidor afetado
- Não execute antivírus sobre os servidores comprometidos
- Não tente abrir os arquivos criptografados
- Não delete arquivos suspeitos achando que vai “limpar” o ambiente
Hora 1 a 2: análise e decisão
Com o ambiente isolado, começa a fase de análise. Por isso, acione imediatamente uma empresa de recuperação de dados especializada em ransomware.
A Crowdertech atende emergências 24 horas. Em casos assim, o diagnóstico remoto ou presencial começa nas primeiras horas após o chamado. Dessa forma, você tem uma avaliação técnica real — percentual de recuperação, tempo estimado, viabilidade de recuperação sem pagar resgate — antes de tomar qualquer decisão.
Nesta fase, a equipe interna deve:
- Identificar quais sistemas foram afetados e quais ainda estão íntegros
- Verificar os backups: existem? Estão acessíveis? Não foram criptografados?
- Documentar todos os sistemas afetados com print e data/hora
- Comunicar a liderança sobre o impacto operacional
Hora 2 a 4: não negocie, preserve
A nota de resgate vai dizer que você tem X horas para pagar antes de o valor dobrar. Contudo, essa pressão é psicológica e faz parte do ataque. Não pague e não negocie.
Além disso, enquanto o especialista de recuperação analisa o ambiente, a equipe de TI deve preservar ao máximo:
- Mantenha os servidores desligados após a confirmação do especialista
- Não reinstale sistemas operacionais nos servidores afetados
- Não formate nenhum volume
- Se houver RAID, não force rebuild em hipótese alguma
Hora 4 em diante: recuperação técnica
Com o diagnóstico concluído, a Crowdertech aplica engenharia reversa ao padrão de cifragem do ransomware. Portanto, identificamos as áreas preservadas nos bancos de dados, discos virtuais e storages — e extraímos os dados sem depender da chave do atacante.
Paralelamente, a equipe interna deve:
- Preparar o processo de comunicação à ANPD se dados pessoais foram afetados
- Acionar o seguro cibernético se existir
- Documentar o incidente para o laudo técnico
O checklist do protocolo de emergência
Para fixar, salve este checklist:
- Fotografar a tela da nota de resgate
- Anotar horário exato do ataque
- Ligar para especialista de recuperação de dados
- Isolar da rede — sem desligar ainda
- Bloquear VPN e RDP
- Proteger os backups
- Não pagar, não negociar, não reiniciar
- Documentar sistemas afetados
- Aguardar diagnóstico antes de qualquer ação
Perguntas frequentes sobre emergência de ransomware
Devo desligar os servidores imediatamente? Não imediatamente. Primeiro isole da rede. O desligamento só acontece após orientação do especialista — porque a memória RAM pode conter informações forenses valiosas para a recuperação.
E se o ataque aconteceu há horas e eu só descobri agora? Acione imediatamente um especialista mesmo assim. O estado atual do ambiente ainda pode permitir recuperação significativa. Cada ação errada a partir de agora é que vai reduzir as chances.
Como sei se o backup foi comprometido? Desconecte o backup da rede antes de verificar. Acesse-o de uma máquina limpa e verifique se os arquivos abrem normalmente. Se o backup também está criptografado, ainda há caminhos de recuperação forense.
A Crowdertech atende às 3h da manhã? Sim. O número de emergência é (11) 99630-0675, disponível 24 horas por dia, 7 dias por semana, incluindo feriados.
Conclusão
O protocolo de emergência para ransomware define se os dados voltam ou se a empresa perde tudo. Em resumo, isole sem destruir, não pague e acione especialistas imediatamente. Sofreu um ataque agora? Ligue para a Crowdertech — (11) 99630-0675 — e receba diagnóstico em até 2 horas.
Fontes: CISA StopRansomware · No More Ransom.