Recuperação pós-ataque de ransomware: passo a passo gerencial

Fase 0: Contenção (primeiras horas)

Ataque ransomware ativo requer ação imediata para parar propagação. Ransomware modernos exploram compartilhamento de rede, credenciais de administrador, ou vulnerabilidades de acesso remoto para se replicar. Cada hora de demora aumenta quantidade de dados criptografados e dificulta triage posterior^[1].

Ações imediatas (primeiros 60 minutos):

• Detectar e confirmar: Se possível, identifica origem (email, acesso RDP comprometido, vulnerabilidade conhecida). Isola máquina ou segmento afetado.
• Contenção de rede: Despluga máquinas afetadas da rede (físico é mais seguro que lógico). Desativa compartilhamento de arquivos se propagação via rede foi detectada.
• Preservação de evidência: Não desliga máquina afetada imediatamente. Forensic pode precisar memória RAM, arquivos de log, conexões de rede abertas. Desligar perde evidência.
• Notificação interna: Avisa executivos, CISO, operações, legal. Ativa plano de crise.

Fase 1: Confirmação (primeiras 24h)

Confirmar que é realmente ransomware, não outro tipo de malware. Identificar variante (Lockbit, Cl0p, Alphv, etc.) é importante porque algumas variantes têm histórico de honrar pagamentos, outras não; algumas têm ferramenta de descriptografia publicada, outras não.

Ações de confirmação:

• Análise de arquivo criptografado: Examina extensão, header, nota de resgate. Consulta banco de dados de ransomware (No More Ransom, CISA alerts, comunidade de segurança) para identificar variante.
• Avaliação de escopo: Quantos sistemas foram afetados? Qual percentual do ambiente está criptografado? Qual foi ponto de entrada (email, RDP, vulnerabilidade)?
• Busca de back door: Ransomware moderno instala acesso persistente (webshell, implante de backdoor) em caso de falha de criptografia. Necessário buscar e remover.

Fase 2: Comunicação (dentro de 24h)

Comunicação clara reduz pânico interno e permite ação coordenada. Diferentes públicos exigem mensagens diferentes: executivos querem saber impacto financeiro e prazo, operações querem saber ações técnicas, clientes querem saber se dados deles foram expostos^[2].

Ações recomendadas:

• Comunicação interna: Executivos, gerência de operações, staff técnico. Mensagem: "Incidente em progresso, equipe trabalhando em resolução, atualizações cada 4h ou conforme novo info".
• Comunicação regulatória: Se exigido (GDPR, Lei de Proteção de Dados), notificar autoridades dentro de prazo (72h em GDPR, proporcionalmente em LGPD).
• Comunicação com cliente: Se dados de cliente foram afetados ou acesso interrompido, comunicação clara reduz dano reputacional. "Ataque foi identificado, sistemas estão sendo restaurados, seu dados estão seguro [ou] expostos, estamos investigando".

Fase 3: Validação de backup (dentro de 24-48h)

É crítico determinar se backup foi comprometido. Ransomware sofisticado (Lockbit, Cl0p) propaga-se para sistemas de backup, causando devastação completa. Sem backup válido, a única opção é pagar resgate ou reconstruir do zero.

Ações para validar backup:

• Verificação de data de backup: Quando foi último backup completo não-comprometido? Quantidade de dado perdido é diferença entre ponto de restauração e momento de ataque.
• Teste de restauração em ambiente isolado: Não confia em "backup parece OK". Restaura um arquivo, um diretório, um servidor de teste. Verifica se integridade está OK, se malware não está dentro do backup.
• Analisa propagação: Ransomware propagou-se para sistema de backup também? Se sim, qual data do backup é segura? Pode precisar ir para backup mais antigo, aceitando mais perda de dado.

Fase 4: Decisão de resgate (dentro de 24-72h)

Pressão para pagar é alta. Nota de resgate promete chave de descriptografia em dias se pagar. Recomendação de FBI, CISA, e relatórios de segurança é unânime: não pagar. Razões:

• Sem garantia que arquivo será descriptografado. Alguns atacantes não entregam a chave mesmo após pagamento.
• Financia operação criminosa, levando a mais ransomware de mesmo grupo.
• Risco legal: nos EUA, sancionar pagamento a grupos terroristas é crime. Em Brasil, depende de se grupo está sancionado.
• Se é vítima de ransomware, já sofreu dano. Pagar não recupera perdas operacionais (downtime, remediação).

Exceção rara: se backup foi completamente destruído, acesso remoto crítico está comprometido, e restauração é impossível, algumas empresas optam por pagar. Decisão deve ser tomada com legal, seguro cyber, e CISO. Não deve ser decisão de operações tomada sob pressão^[3].

Fase 5-7: Restore e validação

Com backup validado, plano de restore é: restaurar em ordem de criticidade, validar cada sistema antes de colocar em produção, monitorar intensamente para detectar malware residual.

Sequência típica:

1. Sistemas críticos de negócio (ERP, POS, aplicação web) — primeira semana
2. Sistemas de suporte (email, compartilhamento de arquivo, RH) — segunda semana
3. Sistemas secundários e desenvolvimento — terceira semana

Cada restauração é seguida por: scanning de malware, validação de funcionalidade (transação teste, conectividade), monitoramento de segurança por 7-14 dias antes de considerar operação "normal".

Fase 8-9: Remediação de segurança e lições aprendidas

Após recuperação das operações, análise post-mortem identifica como ransomware entrou. Ações típicas de remediação:

• Se entrada foi email: Melhora filtro de phishing, educação de usuários, ativa proteção DMARC/SPF/DKIM.
• Se entrada foi RDP: Desativa RDP exposto, ativa VPN, implementa MFA, limita IP source.
• Se entrada foi vulnerabilidade: Aplica patch, revisa processo de patch management, ativa escaneamento de vulnerabilidades automático.
• Geral: Auditoria de backup (validação de imutabilidade, isolamento de rede), auditoria de acesso (quem tem credencial de admin?), segmentação de rede (ransomware não consegue se replicar de um VLAN para outro).