Resposta rápida

Ransomware (ou sequestro de dados) é um malware que criptografa todos os seus arquivos e exige pagamento em Bitcoin para devolvê-los. A proteção mais eficaz é backup em nuvem isolado do servidor — porque mesmo que paguem, não há garantia de recuperação.

Me lembro como se fosse ontem. Era dezembro de 2015, umas 21:30 de uma quarta-feira. Recém tinha voltado de um jogo de tênis, nem tinha ido pro banho, jantado nada. O celular tocou.

— Maurício, pegamos um bichinho…

Era o Luis, um cliente técnico. Em segundos eu já entendia o que tinha acontecido: ransomware (sequestro de dados). Todos os arquivos do servidor estavam criptografados. O HD externo de backup também. E as cópias sombra do Windows? Apagadas.

Aquela noite mudou o jeito que a WSpeed faz backup. Mas vou chegar lá.

O que é ransomware (sequestro de dados)?

Ransomware é um software malicioso que entra silenciosamente no seu servidor ou computador e, em segundo plano, vai criptografando todos os seus arquivos — um por um, sem você perceber nada. Quando termina, aparece o bilhete de resgate: “deposite X bitcoins em até Y horas ou seus dados somem para sempre.”

O nome vem do inglês ransom (resgate) + software. Aqui no Brasil ficou conhecido como sequestro de dados — e é exatamente isso que é: seus arquivos são levados como reféns.

Bitcoin é a moeda exigida porque é difícil de rastrear — funciona como as antigas contas numeradas da Suíça, só que digital. O criminoso recebe, some, e você fica torce pra chave que prometeu chegar de fato abrir seus arquivos.

Spoiler: às vezes ela não vem.

Como funciona o ataque em 4 passos?

Diagrama mostrando o fluxo de infecção por ransomware: e-mail de phishing ou RDP exposto infecta o servidor, criptografa arquivos e exibe pedido de resgate
Fluxo típico de um ataque de ransomware: a porta de entrada quase sempre é um e-mail falso (phishing) ou o acesso remoto do Windows com senha fraca.
Passo O que acontece
1. Infecção Você (ou alguém da equipe) abre um e-mail falso ou o criminoso entra pela porta de acesso remoto do Windows (RDP). Rápido, silencioso.
2. Criptografia O malware roda em segundo plano e criptografa todos os arquivos — pastas do servidor, HD externo plugado, cópias sombra. Tudo.
3. Bilhete de resgate Aparece o aviso: pague X bitcoins em Y horas ou seus dados somem. O relógio corre.
4. Paga e torce Se você pagar, pode receber a chave de descriptografia. Ou pode não receber. Você está negociando com criminoso — sem contrato, sem garantia.

Como o ransomware entra na empresa?

Duas portas de entrada concentram a maioria dos ataques:

1. E-mail falso (phishing). Parece nota fiscal, boleto, comunicado do banco. Você clica no anexo ou no link e pronto. O phishing segue como um dos principais vetores de ataque a empresas, segundo o Verizon DBIR 2024 — e basta um clique no anexo errado.

2. Acesso remoto do Windows (RDP) com senha fraca. Se a sua empresa usa acesso remoto e a senha é fraca — ou pior, é a senha padrão — o criminoso testa combinações até entrar. Pesquisas indicam milhões de computadores com RDP exposto na internet. É uma porta aberta com placa de boas-vindas.

Quer ver exemplos concretos de arquivos que escondem malware? Vale a pena ler: 3 tipos de arquivos que escondem vírus.

Quem é o alvo preferido?

Pequenas e médias empresas — clínicas, escritórios de advocacia, contabilidades, empresas de TI. O motivo é simples: dados críticos no dia a dia, mas orçamento de segurança menor. Soma ruim.

O número que mais me assusta: quem estava com o backup comprometido pagou resgate quase 2x mais do que quem tinha o backup intacto (67% contra 36%, segundo a Sophos, The State of Ransomware 2024). E 68% das empresas que recuperaram os dados conseguiram justamente pelos backups. Ou seja, antivírus é necessário — mas não é suficiente. O que decide o desfecho é o backup.

E os ataques não param: estimativas de 2025 apontam um ataque de ransomware a cada poucos segundos no mundo. Não é “se” vai chegar, é “quando”.

Quanto custa um ataque de ransomware na prática?

Segundo o relatório da Sophos (The State of Ransomware 2024), o custo total de se recuperar de um ataque, sem contar o resgate, passa de US$ 2,7 milhões em média — a maior parte em horas de consultoria, perda de prazo, reputação abalada e clientes que foram embora.

Mas deixa eu te contar um caso real, porque número frio não bate igual à história de quem viveu.

O caso do advogado: R$ 5.705,49 e o dia que quase não terminou bem

Há alguns anos recebi a ligação de um parceiro de negócios. Um cliente dele — um advogado, escritório tradicional, mais de 20 anos de reputação na cidade — tinha sido sequestrado por ransomware. O backup no HD externo? Não funcionou. O HD estava plugado no servidor na hora do ataque. Criptografado junto.

A única saída era pagar o resgate. Ele não sabia como comprar Bitcoin, não sabia negociar com criminoso. Me pediu ajuda.

Me lembro da sensação: parecia um daqueles filmes de suspense, só que era real. Eu estava mais nervoso que o doutor. A gente comprou os bitcoins, transferiu o valor — R$ 5.705,49. E esperou.

A chave não veio.

NÓS PAGAMOS O RESGATE DE R$ 5.705,49 E ELES NÃO DEVOLVERAM OS DADOS.

Eu já tinha avisado antes de pagar que não havia garantia. Mas agora a notícia tinha que ser dada. Aquele homem tinha mais de 20 anos de processos, contratos, histórico de clientes — tudo criptografado. Eu mesmo fiquei com medo que ele pudesse tentar o pior com a sua vida.

Não me entreguei. Tentei contato de novo com o criminoso — e, por incrível que pareça, ele respondeu. Negociamos, e por volta das 17:45 daquele longo dia, rodamos o programa que chegou e os arquivos começaram a abrir. Recuperamos tudo.

Mas não foi por preparo. Foi por sorte e insistência. E esse doutor não era cliente WSpeed.

Você já imaginou se isso acontecesse com você?

E o caso do Luis — o que acontece quando você TEM backup de verdade

Voltando àquela quarta de dezembro de 2015. O Luis ligou às 21:30. A empresa dele tinha sido sequestrada. HD externo criptografado. Cópias sombra, apagadas. Situação idêntica à do advogado.

Mas o Luis era cliente WSpeed. Os dados dele estavam na nuvem, intactos, longe do ransomware.

A internet na empresa era um ADSL de 10 MB instável. Eu fui pra lá. A gente começou o restore. A tensão era a mesma — o cliente perguntando o tempo todo: “demora muito? quando a gente volta a trabalhar?”. Eu comprei 1 Bitcoin (por volta de R$ 2.000 na época) como garantia pessoal ao Luis — não pra pagar bandido, mas pra mostrar que estava no jogo junto com ele.

No dia seguinte, às 10:30 da manhã: “Restore concluído com sucesso.”

O Luis voltou a trabalhar antes das 11h. Sem perder um arquivo. Sem pagar resgate.

Aquele final de semana eu revisei todo o processo. Aquilo nunca mais podia acontecer com nenhum cliente. Foi aí que nasceu o que hoje está escrito no contrato: você recupera os dados, ou a WSpeed arca com multa financeira. Sem essa, não tem negócio.

Backup em HD externo protege de ransomware?

Mas Maurício, eu já faço backup num HD externo. Isso não resolve?

Não. E o caso do advogado mostrou exatamente por quê.

Se o HD externo estiver plugado no computador ou servidor no momento do ataque, o ransomware criptografa ele junto. Em segundos. Você pensava que tinha plano B — mas tinha dois planos A no mesmo lugar.

HD externo é uma das cópias. Nunca a única. Para entender o que é backup de verdade — incluindo a regra 3-2-1 que separa quem dorme tranquilo de quem fica em pânico — vale ler esse guia completo.

Como se proteger do ransomware, na prática?

Não existe proteção de bala de prata. A defesa séria tem camadas:

  • Treine sua equipe. A porta de entrada mais comum é o e-mail falso. Um colaborador que sabe identificar phishing vale mais que qualquer ferramenta.
  • Antivírus pago e firewall. Necessário — mas não suficiente, como já vimos nos números da Sophos.
  • Feche o RDP ou proteja com senha forte e autenticação em dois fatores. Acesso remoto do Windows com configuração padrão é porta aberta.
  • Backup em nuvem isolado do servidor. Essa é a camada que decide se você paga resgate ou não. Se a nuvem está separada, o ransomware não chega lá. Você restaura e volta a trabalhar.

Aqui na WSpeed a gente guarda os dados criptografados no Backblaze B2 (primário, especializado em backup) e no AWS S3, isolados do seu ambiente. O placar até hoje: +15 ransomwares restaurados, 0 resgates pagos — todos clientes WSpeed que voltaram a trabalhar sem ceder um centavo aos criminosos.

Se quiser entender como funciona o backup em nuvem para empresas com garantia em contrato, é por ali.

E se eu já fui infectado — o que fazer agora?

Calma. Respira. E segue essa ordem:

  1. Isola a máquina da rede. Desconecta o cabo, desativa o Wi-Fi. Isso para o ransomware de se espalhar pras outras máquinas.
  2. Não formata ainda. Formatar apaga a possibilidade de recuperação que ainda pode existir.
  3. Aciona o suporte de TI ou sua empresa de backup imediatamente. Se você tem backup em nuvem isolado, o caminho é o restore — sem negociar com criminoso.
  4. Se não tiver backup, pense duas vezes antes de pagar. Lembra do doutor: pagamos R$ 5.705,49. A chave não veio de primeira. Não há garantia nenhuma.
  5. Registre o boletim de ocorrência. É crime. Deixa registrado.

Afinal, o dinheiro volta. Mas a reputação e o nome que você construiu ao longo dos anos pode se desmanchar da noite para o dia.

Conta nos comentários: você ou alguém que você conhece já passou por isso? Como foi?

Abraço e até o próximo artigo ou vídeo.

Perguntas frequentes

O que é ransomware (sequestro de dados)?

Ransomware é um software malicioso que criptografa todos os arquivos do seu computador ou servidor em segundo plano, sem você perceber. Depois deixa um bilhete de resgate exigindo pagamento em Bitcoin para entregar a chave de descriptografia. Também é chamado de sequestro de dados.

O que fazer se minha empresa for infectada por ransomware?

Primeiro: isole a máquina da rede imediatamente para evitar que o ransomware se espalhe. Segundo: não pague o resgate sem consultar um especialista — pagar não garante a devolução dos dados. Terceiro: acione seu suporte de TI ou a empresa de backup. Se você tiver backup em nuvem isolado do servidor, é possível restaurar tudo sem pagar nada.

Vale a pena pagar o resgate do ransomware?

Em geral, não. Você está negociando com criminosos sem nenhuma garantia. Conheço um caso real em que um advogado pagou R$ 5.705,49 de resgate — e no início os dados não voltaram. Só com muita insistência conseguimos recuperar. Quem tem backup em nuvem isolado nunca precisa chegar nessa situação.

Como prevenir um ataque de ransomware?

Treine sua equipe para identificar e-mails falsos (phishing). Mantenha antivírus pago e firewall ativos. Desative ou proteja com senha forte o acesso remoto do Windows (RDP). E, acima de tudo, mantenha backup em nuvem isolado do servidor — se o ransomware criptografar tudo, você restaura sem pagar resgate.

Backup em nuvem protege contra ransomware?

Sim, quando o backup está isolado do servidor infectado. Se o HD externo estiver plugado na hora do ataque, ele também é criptografado. Já a nuvem — especialmente quando usa armazenamento imutável — fica intacta. Aqui na WSpeed já restauramos mais de 15 casos de ransomware sem pagar um centavo de resgate.

Por que o antivírus não impediu o ransomware?

Porque o ransomware moderno é projetado para escapar das assinaturas dos antivírus. Segundo a Sophos (The State of Ransomware 2024), quem estava com o backup comprometido no momento do ataque pagou resgate quase 2x mais do que quem tinha o backup intacto. Antivírus é uma camada de defesa — essencial, mas não suficiente. Backup em nuvem é o plano B que funciona mesmo quando o antivírus falha.

Fontes