Guia Cibersegurança Resposta a Incidente

Recuperação de Ransomware: como restaurar seus sistemas sem reinfecção

A maioria das organizações restaura a partir de backup antes de confirmar que o agente de ameaça saiu. O resultado é reinfecção em 72 horas. Seis etapas separam a implantação do ransomware de um ambiente limpo: mapeie o comprometimento, valide os backups, elimine o atacante, planeje a restauração, cumpra os prazos de notificação regulatória e fortaleça o ambiente antes de reconectar.

4 de julho de 2026
9 min de leitura
Incidente ativo de ransomware?
Iniciamos a resposta ao incidente em horas, em qualquer lugar da Europa ou Brasil.
Obter ajuda agora
Principais pontos
  • A maioria das organizações restaura antes de confirmar que o atacante saiu, causando reinfecção em até 72 horas
  • 40% das organizações que pagaram o resgate não recuperaram todos os dados (Sophos 2024)
  • Grupos de ransomware atacam ativamente a infraestrutura de backup; valide cada backup em hardware isolado
  • A LGPD exige notificação à ANPD em prazo razoável, com referência de 2 dias úteis para incidentes graves
  • A recuperação média leva 21 dias; organizações com backups com air gap testados recuperam em 13 dias

Por que a maioria das recuperações falha

Três padrões de falha respondem pela maioria dos incidentes de ransomware prolongados.

O primeiro é restaurar antes de eliminar o atacante. A equipe restaura a partir do backup, reconecta à rede e a reinfecção ocorre em horas. O agente de ameaça nunca foi embora. Tarefas agendadas, novas contas de administrador, ferramentas de acesso remoto e credenciais implantadas sobrevivem à restauração e permitem que o atacante implante a criptografia novamente.

O segundo é pagar o resgate e tratar isso como plano de recuperação. Pesquisa da Sophos com 5.000 organizações mostrou que 40% das que pagaram não recuperaram todos os dados. Os desencriptadores falham em arquivos corrompidos, retornam chaves parciais ou não funcionam em variantes de criptografia mais recentes.

A terceira falha é mais silenciosa: reconstruir no mesmo estado que possibilitou o ataque. Se o seu ambiente tinha vulnerabilidades, restaurar a partir de backup as reinstala.

Etapa 1: confirme que o atacante saiu

A implantação do ransomware normalmente ocorre semanas após o acesso inicial. O Mandiant M-Trends 2024 aponta o tempo médio de permanência em 11 dias antes da implantação da criptografia. No setor financeiro, o tempo médio de permanência supera 45 dias. Alguns grupos mantiveram acesso persistente por mais de 200 dias. A criptografia marca o fim do ataque, não o início.

Antes de qualquer trabalho de restauração começar, sua equipe de resposta a incidentes precisa ter uma visão completa: cada sistema afetado, cada credencial comprometida, cada nova conta criada durante a violação e cada mecanismo de persistência encontrado e confirmado como removido.

Como a persistência se manifesta

Investigações de ransomware costumam encontrar:

  • Tarefas agendadas que reexecutam o loader ou payload de callback
  • Novas contas de administrador local criadas durante movimento lateral
  • Ferramentas de monitoramento e gerenciamento remoto que continuam em execução após o acesso inicial
  • Webshells implantadas em servidores voltados para a internet
  • Alterações de política de grupo do domínio que mantêm privilégios do atacante
  • Modificações de registro que desativam ferramentas de segurança de endpoint
  • Tokens OAuth e chaves de API criados para acesso persistente à nuvem

Alguns grupos aguardam 30 a 60 dias após a detecção inicial para reingressar, visando organizações que recuperaram sem eliminação completa.

Etapa 2: valide seus backups

Famílias modernas de ransomware tratam os backups como o principal obstáculo ao pagamento. Conti, LockBit 3.0 e BlackCat/ALPHV incluem módulos que tentam criptografar ou excluir Volume Shadow Copies, arquivos de software de backup e repositórios de backup acessíveis pela rede. Se o seu sistema de backup estava acessível a partir do ambiente infectado, trate-o como possivelmente comprometido.

O processo de validação

  1. Identifique a última data de backup limpa. Isso é antes do acesso inicial do atacante, não antes da criptografia.
  2. Monte o backup em hardware isolado sem conectividade de rede com o ambiente de produção ou domínio.
  3. Execute suas ferramentas EDR e antivírus atualizadas sobre o backup montado.
  4. Realize uma restauração de teste de um sistema crítico nesse hardware isolado e verifique se ele inicializa corretamente.
  5. Confie apenas em backups que passam em todas as quatro verificações.
37%
Recuperação mais rápida para organizações com backups com air gap testados (Sophos 2024)
13
Média de dias de recuperação com backups testados, versus 21 dias sem

Etapa 3: elimine primeiro, restaure depois

Não tente limpar sistemas infectados. Reconstrua-os. Verificar que um sistema está completamente limpo exige mais esforço do que reconstruir a partir de uma imagem limpa conhecida. Formate endpoints, servidores e controladores de domínio comprometidos e reconstrua a partir de uma baseline validada.

O Active Directory merece atenção especial. Se os controladores de domínio foram comprometidos, trate cada conta com privilégios de administrador de domínio como comprometida. Redefina todas as credenciais privilegiadas antes de conectar sistemas restaurados ao domínio.

Erro comum

Muitas equipes reconstruem estações de trabalho mas mantêm controladores de domínio comprometidos. Uma estação de trabalho limpa que se conecta a um domínio comprometido permanece dentro do alcance do atacante. Eliminação completa significa o domínio, não apenas máquinas individuais.

Etapa 4: planeje a sequência de restauração

Restaure em ordem de prioridade de negócio, não de conveniência técnica. Defina seus níveis antes de um incidente para que a decisão de sequenciamento seja tomada a partir de um plano, não sob pressão.

A abordagem em três camadas

Camada 1 — Continuidade central dos negócios: folha de pagamento, serviços voltados ao cliente, ERP central e comunicações. Meta: operacional em 72 horas após a conclusão da eliminação.

Camada 2 — Suporte operacional: aplicações de negócio secundárias, relatórios, análises e ferramentas internas. Meta: operacional na primeira semana.

Camada 3 — Não crítico: arquivos, ambientes de desenvolvimento, sistemas de teste e ferramentas internas de pouco uso. Esses aguardam até que a Camada 2 esteja confirmada como limpa e estável.

Continuidade durante a recuperação

Defina seus procedimentos manuais de emergência antes de um incidente, não durante ele. Fluxos de trabalho em papel ou offline para aprovação de folha de pagamento, processamento de pedidos de clientes e autorização financeira evitam paralisia operacional nas primeiras 48 a 72 horas.

Etapa 5: cumpra as obrigações de notificação regulatória

As obrigações de notificação correm em paralelo com o trabalho de recuperação, não depois. Uma notificação perdida enquanto você está focado na restauração é uma infração regulatória separada.

LGPD: notificação à ANPD

O artigo 48 da LGPD exige que o controlador notifique a ANPD e os titulares de dados afetados sobre incidente de segurança que possa acarretar risco ou dano relevante. A Resolução CD/ANPD nº 2/2022 estabelece 2 dias úteis como referência para casos graves após o conhecimento do incidente. Um ataque de ransomware que criptografa dados pessoais se enquadra nessa obrigação. O ransomware quase sempre criptografa dados pessoais porque criptografa aleatoriamente em todos os sistemas de arquivos.

A notificação deve conter: a natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança aplicadas, riscos e possíveis consequências do incidente, e as medidas tomadas ou planejadas. Você não precisa aguardar uma investigação completa. Notifique dentro do prazo e atualize à medida que seu entendimento cresce.

GDPR: se sua organização trata dados de residentes da UE

O artigo 33 do GDPR exige notificação à autoridade supervisora competente dentro de 72 horas após o conhecimento de uma violação de dados. Se sua organização processa dados de residentes europeus, essa obrigação corre em paralelo com a notificação à ANPD. As duas obrigações têm prazos e formatos diferentes; consulte um advogado de proteção de dados para coordenar ambas as notificações.

Orientação jurídica

Envolva um advogado especializado em proteção de dados no início da resposta ao incidente, não ao final. O envolvimento jurídico precoce proporciona proteção de sigilo profissional para materiais de investigação e reduz o risco de erros nas notificações que criam uma segunda exposição regulatória.

Etapa 6: fortaleça durante a reconstrução

Aquele estado anterior tinha vulnerabilidades que o atacante encontrou e explorou. Reconstruir na mesma configuração dá ao próximo grupo as mesmas condições para trabalhar.

Enquanto cada sistema retorna online:

  • Force MFA em todas as contas privilegiadas antes de conectá-las à rede
  • Implante ou verifique a cobertura de EDR em cada endpoint antes de colocá-lo em produção
  • Revise e implemente o tiering do Active Directory: a maioria dos ransomwares se move lateralmente por contas de domínio com privilégios excessivos
  • Ative o registro de auditoria centralizado antes de qualquer sistema processar dados de produção
  • Aplique todos os patches pendentes antes de o sistema entrar em produção

O último sistema voltando online não é a linha de chegada. Uma postura de segurança melhor do que antes do ataque é.

Quanto tempo leva a recuperação?

O relatório Sophos State of Ransomware 2024 aponta uma média de 21 dias para recuperação completa das operações de negócio. Incidentes em grandes empresas têm média de 38 dias. Organizações com backups com air gap testados recuperaram em média em 13 dias.

Recuperações mais rápidas tinham três coisas em comum: um plano de resposta a incidentes praticado, backups testados nos seis meses anteriores e uma rede segmentada que limitou o alcance do movimento do atacante.


Como a Cyvra ajuda

A Cyvra apoia a recuperação de ransomware desde a investigação inicial e forense até o fortalecimento pós-incidente. Trabalhamos ao lado de suas equipes internas ou assumimos a liderança quando a capacidade é limitada.

  • Investigação e forense: identificar cada sistema afetado, credencial comprometida e mecanismo de persistência antes de iniciar a recuperação
  • Validação de backup: avaliação independente da integridade do backup em infraestrutura isolada antes de sua equipe confiar nele
  • Reconstrução em ambiente limpo: restaurar sistemas críticos a partir de imagens validadas em ambiente isolado antes de ir para produção
  • Notificações regulatórias: redigir e submeter notificações à ANPD, GDPR e outras autoridades dentro dos prazos exigidos
  • Fortalecimento pós-incidente: tiering do AD, implantação de MFA, EDR, arquitetura de logs e segmentação de rede
  • Exercícios de simulação: pratique sua resposta antes de precisar dela, para que as decisões sejam tomadas a partir de um plano

Entre em contato com nossa prática de cibersegurança ou saiba mais sobre nossos serviços de conformidade e resposta a incidentes.

Perguntas Frequentes

Devemos pagar o resgate para acelerar a recuperação?

Pagar o resgate não garante recuperação. Pesquisa da Sophos mostrou que 40% das organizações que pagaram não recuperaram todos os dados. Os desencriptadores frequentemente falham em arquivos corrompidos ou retornam chaves parciais. O pagamento é uma decisão de negócio sobre custo e urgência, não um substituto para um processo de recuperação. Ele também não remove o atacante do seu ambiente.

Como verificamos se nossos backups foram comprometidos?

Monte o backup em hardware isolado da rede de produção e do domínio. Execute ferramentas EDR e antivírus atualizadas sobre o backup montado. Realize uma restauração de teste de um sistema crítico nesse hardware isolado e verifique se inicializa corretamente e retorna dados precisos. O último backup limpo é o mais recente com data anterior ao acesso inicial do atacante.

Somos obrigados a notificar a ANPD após um ataque de ransomware?

Sim, na maioria dos casos. Pela LGPD, se dados pessoais foram envolvidos, você deve notificar a ANPD em prazo razoável. A Resolução CD/ANPD nº 2/2022 estabelece 2 dias úteis como referência para casos graves. O ransomware quase sempre criptografa dados pessoais. Deixar de notificar dentro dos prazos constitui infração regulatória independente.

O que é recuperação em ambiente limpo (clean room)?

Uma recuperação em ambiente limpo restaura e testa sistemas críticos em um ambiente completamente isolado antes de conectá-los à rede de produção. Você usa hardware ou ambiente de nuvem sem conectividade com a infraestrutura existente, monta backups validados, reconstrói a partir de imagens limpas e verifica cada sistema antes de colocá-lo em produção.

Fale com a Cyvra

Prepare-se antes de um incidente, não durante

Ajudamos você a construir um ambiente pronto para recuperação: arquitetura de backup validada, planos de resposta a incidentes testados e as medidas de fortalecimento que limitam o raio de impacto de um ataque.

Aviso legal: Este artigo tem finalidade exclusivamente informativa e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não garante a precisão ou completude deste conteúdo. Os leitores devem buscar orientação independente adequada às suas circunstâncias específicas.