Imagine chegar na segunda-feira pela manhã, ligar o computador e ver uma mensagem: todos os arquivos da empresa foram criptografados. Para recuperá-los, você precisa pagar um resgate em criptomoeda. O prazo é 72 horas. Caso contrário, os dados serão deletados permanentemente.
Isso não é ficção. O CERT.br registrou, no último relatório anual, crescimento consistente nos ataques de ransomware contra empresas brasileiras de pequeno e médio porte. E a maioria das vítimas nunca imaginou que estaria na lista.
Este artigo explica como o ataque funciona, por que pequenas empresas são o alvo preferido e o que você pode fazer para não chegar nessa situação.
O que é ransomware e como o ataque acontece
Ransomware é um tipo de malware — software malicioso — que sequestra os arquivos de um sistema. O criminoso criptografa tudo que encontra: documentos, planilhas, banco de dados, registros financeiros. Depois cobra um resgate para devolver o acesso.
O ciclo de um ataque típico tem quatro etapas:
1. Entrada. O malware entra no sistema, geralmente por e-mail com link malicioso, anexo contaminado ou exploit de sistema desatualizado. Um colaborador clica em algo que parece legítimo — e o processo começa.
2. Propagação. Antes de agir, o malware se espalha silenciosamente pela rede. Pode ficar dormindo por dias ou semanas, mapeando o ambiente e acessando outros dispositivos conectados.
3. Execução. Quando ativado, o ransomware criptografa todos os arquivos que encontra — incluindo os compartilhados em rede. Em minutos, o dano está feito.
4. Extorsão. A mensagem de resgate aparece. O criminoso exige pagamento em bitcoin ou outra criptomoeda. Mesmo quem paga não tem garantia de que os dados serão devolvidos.
Por que pequenas empresas são o alvo preferido
Existe uma lógica financeira por trás dos ataques a PMEs.
Grandes empresas têm equipes de segurança dedicadas, sistemas de detecção avançados e respostas a incidentes estruturadas. O custo para atacá-las é alto e o retorno é incerto.
Pequenas empresas têm dados igualmente valiosos — NF-e, folha de pagamento, dados de clientes, contratos, registros financeiros — mas defesas muito mais frágeis. O custo do ataque é baixo. A probabilidade de sucesso é alta. E a probabilidade de pagamento do resgate é maior, porque a empresa não tem alternativa preparada.
Por isso, o modelo de ransomware moderno não mira nos maiores. Mira nos mais vulneráveis.
O que determina se uma empresa vai se recuperar
Quando o ataque acontece, uma variável separa as empresas que se recuperam das que não se recuperam: backup testado e isolado.
“Testado” significa que a restauração foi executada e validada recentemente. Não basta ter o backup configurado — se nunca foi testado, é uma aposta.
“Isolado” significa que o backup está em ambiente separado da rede principal. Ransomware avançado busca e criptografa backups conectados. Se o backup está no mesmo servidor ou na mesma rede, ele vai junto.
Vimos isso acontecer com empresas que tinham backup — mas que perderam o backup junto com os dados porque o arquivo estava na mesma rede que foi atacada.
O que fazer para proteger sua empresa
Proteção contra ransomware não exige um orçamento de grande empresa. Exige consistência nas medidas certas.
Backup dedicado, testado e isolado. Essa é a medida mais importante. Com backup funcionando, ransomware vira inconveniente — não catástrofe. Sem backup, vira crise existencial.
Atualização de sistemas em dia. Grande parte dos ataques explora vulnerabilidades em sistemas desatualizados. Patches de segurança corrigem essas brechas. Ignorar o alerta de atualização é deixar a porta aberta.
EDR além do antivírus. Antivírus identifica ameaças conhecidas. EDR monitora comportamento em tempo real e pode detectar o ransomware antes de ele executar. Para PMEs, essa camada extra mudou completamente o cenário de proteção nos últimos anos.
Treinamento básico da equipe. A maioria dos ataques começa com um clique humano. Ensinar a equipe a identificar e-mails suspeitos, links maliciosos e pedidos de credenciais é uma das medidas de maior custo-benefício.
Plano de resposta. Quem você liga se o ataque acontecer? Em quanto tempo você consegue restaurar os sistemas críticos? Saber as respostas antes da crise faz toda a diferença durante ela.
Quanto tempo leva para recuperar?
O mercado de TI convencional, quando é chamado após um ataque sem backup adequado, leva de 2 a 4 semanas para recuperar uma operação. Duas a quatro semanas sem emitir nota, sem acessar o sistema de gestão, sem acessar registros de clientes.
Com backup gerenciado e testado, a DPi restaura ambientes em até 4 horas. Essa diferença existe porque o processo foi planejado antes do incidente — não improvisado durante ele.
O que fazer agora
Se você ainda não tem certeza de que seu backup está funcionando, testado e isolado — essa é a primeira coisa a verificar. Não amanhã.
A DPi oferece diagnóstico gratuito de TI de 30 minutos. Em 30 minutos, você sabe exatamente se o seu ambiente está vulnerável — e quais são as prioridades reais.
Agendar diagnóstico gratuito →
Leia também:
