Segunda-feira, 8h47. A equipe chega, liga os computadores e encontra uma tela que não deveria estar lá. Um contador regressivo. Uma mensagem em inglês dizendo que todos os arquivos foram criptografados. E um valor em bitcoin para recuperar o acesso.
Isso é ransomware. E acontece com empresas de 3, 10, 50 funcionários todos os dias no Brasil.
O que é ransomware, em linguagem direta
Ransomware é um tipo de software malicioso que invade um sistema, criptografa os arquivos — tornando-os completamente inacessíveis — e exige pagamento para devolver o acesso. O nome vem do inglês: ransom (resgate) + software.
Não é um vírus que apenas bagunça o sistema. É um sequestro digital. Seus arquivos ainda estão lá, mas você não consegue abrir nenhum deles. Planilhas, contratos, banco de dados de clientes, histórico financeiro, tudo bloqueado por uma chave criptográfica que só o atacante possui.
O prazo para pagar costuma ser entre 24 e 72 horas. Depois disso, os atacantes ameaçam apagar tudo ou, cada vez mais comum, publicar os dados em fóruns na dark web.
Por que pequenas empresas são alvo
Existe um equívoco frequente: a ideia de que atacantes só miram em corporações grandes. A lógica parece razoável, grandes empresas têm mais dinheiro para pagar. Mas a lógica dos criminosos é diferente.
Grandes empresas têm equipes de segurança, sistemas de detecção, protocolos de resposta a incidentes e advogados especializados. Pequenas empresas, na maioria das vezes, não têm nada disso.
Do ponto de vista de um atacante, uma PME é um alvo mais simples, com defesas menores e, por isso, com maior probabilidade de pagamento rápido. O resgate pedido é proporcionalmente menor — R$ 5 mil a R$ 50 mil em vez de milhões — mas o impacto para a empresa é devastador da mesma forma.
Segundo o relatório da Veeam de 2023, mais de 85% das organizações sofreram pelo menos um ataque cibernético no ano anterior. E a parcela de PMEs afetadas cresceu consistentemente nos últimos três anos.
Como o ransomware entra na sua empresa
Entender o caminho de entrada é o primeiro passo para não facilitar a vida de quem ataca.
E-mail de phishing é a porta de entrada mais comum. Um colaborador recebe um e-mail que parece ser do banco, de um fornecedor conhecido ou até de um colega. Há um anexo ou link. Um clique é suficiente para instalar o ransomware silenciosamente.
Senhas fracas ou reutilizadas abrem sistemas de acesso remoto. Muitas empresas usam ferramentas de acesso remoto para que funcionários trabalhem de fora. Se a senha é simples ou foi reutilizada em outros serviços, um atacante consegue entrar sem precisar de nenhum malware sofisticado.
Softwares desatualizados têm vulnerabilidades conhecidas e documentadas. Quando uma atualização de segurança não é instalada, a empresa fica exposta a ataques que exploram exatamente esse gap. Atacantes verificam versões de software de forma automatizada, eles sabem quais empresas estão vulneráveis antes mesmo de tentar invadir.
Downloads de fontes não confiáveis, um software pirata, um plugin de fonte desconhecida, um arquivo recebido por WhatsApp sem verificação, são vetores diretos de infecção.
O que acontece depois do ataque
A sequência típica após uma infecção por ransomware:
Hora 0: o ransomware é instalado, mas ainda não agiu. Fica em modo de reconhecimento, mapeando a rede, identificando onde estão os dados mais importantes.
Horas 1 a 24: início da criptografia. Em redes corporativas, esse processo pode levar horas. Quando o usuário percebe que algo está errado, parte dos dados já está comprometida.
Quando a tela aparece: a criptografia está completa. O dano já foi feito. A mensagem de resgate é apenas o momento em que você descobre.
A partir daí, as opções sem backup são poucas e nenhuma é boa:
Pagar o resgate não garante nada. Aproximadamente 40% das empresas que pagam não recuperam todos os dados, segundo registros de incidentes documentados. E pagar sinaliza para o atacante que você é um bom alvo, o que aumenta a probabilidade de novo ataque.
Contratar especialistas em recuperação é caro, lento e tem taxa de sucesso limitada. Dependendo do tipo de criptografia usada, recuperação é tecnicamente impossível.
Formatar e reconstruir do zero funciona para o sistema operacional, mas não traz de volta os dados. Contratos perdidos continuam perdidos.
Por que antivírus não é suficiente
Antivírus e soluções de segurança de endpoint são camadas importantes de proteção. Mas têm limitações reais quando se trata de ransomware.
Variantes novas de ransomware são criadas constantemente, às vezes diariamente. Antivírus baseados em assinatura (que identificam ameaças conhecidas) não conseguem detectar variantes que ainda não foram catalogadas.
Além disso, muitos ataques modernos usam técnicas de ofuscação que dificultam a detecção. O ransomware pode ficar dormente por dias antes de agir, esperando o momento em que a detecção é menos provável.
A conclusão prática: prevenção reduz o risco, mas não elimina. A proteção real contra ransomware não é só evitar o ataque, é garantir que, se ele acontecer, você consegue se recuperar sem pagar e sem perder tudo.
O papel do backup na proteção contra ransomware
Backup não previne ransomware. Mas é a única medida que garante recuperação completa se o ataque acontecer.
A lógica é simples: se você tem uma cópia íntegra dos seus dados, anterior ao ataque, o ransomware perde a alavanca. O sequestrador ameaça apagar seus arquivos — mas se você tem backup, a ameaça não tem poder.
Para que o backup realmente funcione como proteção contra ransomware, três condições precisam ser atendidas:
A cópia precisa ser isolada da rede. Ransomware moderno procura ativamente por backups conectados e os criptografa também. Backup em nuvem, com acesso separado das credenciais da rede principal, é muito mais seguro que HD externo ou NAS conectado ao mesmo servidor.
O histórico precisa ser longo o suficiente. Se o ransomware ficou dormente por 10 dias antes de agir, um backup com retenção de 7 dias não resolve. Versões ilimitadas de histórico garantem que você sempre tem um ponto de restauração anterior ao ataque.
A restauração precisa ser rápida. Voltar à operação em 2 horas é diferente de voltar em 2 dias. Para uma empresa pequena, cada hora parada é receita que não entra.
O protocolo mínimo de proteção
Nenhuma PME precisa de um departamento de TI para ter proteção razoável. O protocolo mínimo tem quatro elementos:
1. Backup automático e isolado — configurado para rodar sem depender de ação humana, armazenado em nuvem com credenciais separadas das demais contas da empresa.
2. Atualizações em dia — sistema operacional e softwares críticos atualizados. A maioria dos ataques bem-sucedidos explora vulnerabilidades que já tinham correção disponível.
3. Treinamento básico de phishing — o colaborador que clica no e-mail errado é o elo mais fraco. Uma sessão de 30 minutos mostrando como identificar tentativas de phishing reduz significativamente o risco.
4. Autenticação em dois fatores nos sistemas de acesso crítico — e-mail corporativo, sistema financeiro, acesso remoto. Isso elimina boa parte dos ataques que dependem de senhas comprometidas.
Se você ainda não tem backup, o risco é concreto
Não é questão de pessimismo. É aritmética.
Quanto mais tempo uma empresa opera sem backup isolado e testado, maior a janela de exposição. E ataques de ransomware não escolhem o momento certo para a vítima, escolhem o momento mais conveniente para o atacante.
A diferença entre uma empresa que sobrevive a um ransomware e uma que fecha não é sorte. É se elas tinham ou não um backup funcionando antes do ataque.
Teste o Caffeine Backup por 14 dias, sem cartão de crédito. Configure hoje, e da próxima vez que uma tela estranha aparecer, você vai ter o que precisar para voltar à operação em minutos.
Leia também: Backup em Nuvem para Pequenas Empresas: o que ninguém te conta antes de você perder tudo
