{"id":4893,"date":"2021-08-31T15:24:50","date_gmt":"2021-08-31T18:24:50","guid":{"rendered":"https:\/\/netdeep.com.br\/novo\/?p=4893"},"modified":"2026-02-25T10:11:48","modified_gmt":"2026-02-25T13:11:48","slug":"ransomware-como-responder-de-maneira-eficiente-a-um-incidente-de-sequestro-de-dados","status":"publish","type":"post","link":"https:\/\/netdeep.com.br\/novo\/ransomware-como-responder-de-maneira-eficiente-a-um-incidente-de-sequestro-de-dados\/","title":{"rendered":"RANSOMWARE: Como responder de maneira eficiente a um incidente de sequestro de dados"},"content":{"rendered":"<p>Os ataques de Ransomware colocaram a equipe de TI e os profissionais de Seguran\u00e7a da Informa\u00e7\u00e3o diante de um grande desafio. Empresas de todos os tamanhos e dos mais variados cen\u00e1rios tem sido atacadas e embora a melhor estrat\u00e9gia seja tomar medidas para evitar que ataques de Ransomware aconte\u00e7am, a realidade \u00e9 que, n\u00e3o h\u00e1 como totalmente garantir que seus dados estejam seguros. N\u00e3o existe uma f\u00f3rmula m\u00e1gica! A aumento da seguran\u00e7a vem atrav\u00e9s de uma s\u00e9rie de processos que precisam ser aplicados dentro da empresa que envolvem no m\u00ednimo a Preven\u00e7\u00e3o, Detec\u00e7\u00e3o e Resposta \u00e0 incidentes.<\/p>\n<p>\u00c9 por isso que \u00e9 crucial ter um Plano de Resposta \u00e0 Ransomware junto ao Plano de Resposta \u00e0 Incidentes.<\/p>\n<p>Este plano ajuda os departamentos de TI internos e provedores de servi\u00e7os gerenciados a reagir de forma r\u00e1pida e eficaz quando ocorre um Ransomware.<\/p>\n<p>Al\u00e9m disso \u00e9 necess\u00e1rio proteger a reputa\u00e7\u00e3o da sua empresa. Mesmo que o impacto financeiro direto do tempo de inatividade seja m\u00ednimo, a marca da empresa provavelmente ser\u00e1 prejudicada se os servi\u00e7os forem interrompidos por um ataque de Ransomware. Com um plano de resposta implementado, voc\u00ea estar\u00e1 em uma posi\u00e7\u00e3o melhor para recuperar os dados antes que as opera\u00e7\u00f5es sejam interrompidas de forma cr\u00edtica.<\/p>\n<p>Neste artigo colocamos de maneira bem resumida as etapas obrigat\u00f3rias que devem fazer parte de um Plano de Resposta \u00e0 Ransomware. Confira!<\/p>\n<h2><strong>ETAPA 1 \u2013 IDENTIFIQUE E DESCONECTE TUDO<\/strong><\/h2>\n<p>Acabei de ser infectado!!! Qual a primeira coisa a fazer?<\/p>\n<p>\u00c9 necess\u00e1rio fazer a conten\u00e7\u00e3o, isolando o incidente para que ele n\u00e3o se propague por toda a empresa.<\/p>\n<ul>\n<li>Identifique os sistemas afetados.<\/li>\n<li>Depois de identificar os sistemas afetados, sua pr\u00f3xima etapa deve ser desativ\u00e1-los para evitar que o ataque se espalhe ainda mais.<\/li>\n<li>Voc\u00ea pode desativ\u00e1-los desligando-os ou simplesmente desconectando-os da rede. Desconecte o (s) computador (es) infectado (s) da rede e desligue qualquer funcionalidade de rede (Ethernet, Wi-Fi, Bluetooth, etc.).<\/li>\n<li>Qualquer que seja a abordagem que voc\u00ea adote, no entanto, certifique-se de agir de maneira controlada, ao inv\u00e9s de entrar em p\u00e2nico.<\/li>\n<li>Especifique em seu plano quais sistemas ser\u00e3o desativados primeiro, como eles ser\u00e3o desativados e quais etapas devem ser executadas durante a desativa\u00e7\u00e3o para garantir que os dados permane\u00e7am intactos quando os sistemas ficam offline.<\/li>\n<\/ul>\n<h2><strong>ETAPA 2 \u2013 DETERMINE O ESCOPO DA INFEC\u00c7\u00c3O<\/strong><\/h2>\n<p>Verifique os seguintes sinais de criptografia:<\/p>\n<ul>\n<li>Drives mapeados ou compartilhados<\/li>\n<li>Pastas mapeadas ou compartilhadas de outros computadores<\/li>\n<li>Dispositivos de armazenamento de rede de qualquer tipo<\/li>\n<li>Discos r\u00edgidos externos<\/li>\n<li>Dispositivos de armazenamento USB de qualquer tipo (pen drives, smarthone, tablets).<\/li>\n<li>Demais dispositivos IP (c\u00e2meras, impressoras, etc.).<\/li>\n<li>Armazenamento baseado em nuvem: DropBox, Google Drive, OneDrive etc.<\/li>\n<\/ul>\n<h2><strong>ETAPA 3 \u2013 DETERMINE SE OS DADOS OU CREDENCIAIS FORAM ROUBADOS<\/strong><\/h2>\n<ul>\n<li>Verifique os logs e registros. Se voc\u00ea tiver um software de DLP, examine-o para todo e qualquer sinal de vazamento de dados.\u00a0Principalmente dados pessoais. Se dados pessoais foram roubados,\u00a0 devido a LGPD (Lei Geral de Prote\u00e7\u00e3o de Dados), o\u00a0 Encarregado de Prote\u00e7\u00e3o de Dados Pessoais deve ser envolvido para decidir qual ser\u00e1 a resposta.<\/li>\n<li>Procure por grande arquivos compactados suspeitos (por exemplo, zip, rar, tgz, tar, arc, etc.) contendo dados confidenciais que poderiam ter sido usados \u200b\u200bcomo arquivos de teste.<\/li>\n<li>Procure malware, ferramentas e scripts que podem ter sido usados \u200b\u200bpara procurar e copiar dados.<\/li>\n<li>Observe as mensagens de aviso. Um dos sinais mais precisos de roubo de dados de Ransomware \u00e9 um aviso do grupo criminoso envolvido, anunciando que seus dados e \/ ou credenciais foram roubados.<\/li>\n<\/ul>\n<h2><strong>ETAPA 4 \u2013 DESCUBRA QUAL A FAM\u00cdLIA DE RANSOMWARE<\/strong><\/h2>\n<p>Por exemplo:\u00a0<strong>RansomEXX, Egregor, Dharma, SamSam, etc.<\/strong><\/p>\n<p>Dependendo da fam\u00edlia, ele pode atacar at\u00e9 outros tipos de sistemas operacionais e aplicativos (Sistemas Linux, Bancos de Dados, Servidores Web).<\/p>\n<p>Voc\u00ea pode descobrir esta informa\u00e7\u00e3o submetendo um arquivo infectado para an\u00e1lise no site\u00a0<a href=\"https:\/\/www.virustotal.com\/\" target=\"_blank\" rel=\"noopener\">VirusTotal,<\/a>\u00a0<a href=\"https:\/\/www.nomoreransom.org\/\" target=\"_blank\" rel=\"noopener\">No More Ransom<\/a>\u00a0ou\u00a0<a href=\"https:\/\/id-ransomware.malwarehunterteam.com\/\" target=\"_blank\" rel=\"noopener\">ID Ransomware.<\/a><\/p>\n<h2><strong>ETAPA 5 \u2013 DETERMINE A RESPOSTA<\/strong><\/h2>\n<p>Agora que voc\u00ea conhece o escopo do dano, bem como o tipo de Ransomware com o qual est\u00e1 lidando e pode tomar uma decis\u00e3o mais certa sobre qual ser\u00e1 sua pr\u00f3xima a\u00e7\u00e3o.<\/p>\n<p>Existem muitos tipos de resposta, aqui est\u00e1 um resumo das poss\u00edveis respostas:<\/p>\n<p><strong>Resposta 1 \u2013 DIVULGAR O ATAQUE<\/strong><\/p>\n<p>\u00c0s vezes, os regulamentos de conformidade podem exigir que voc\u00ea divulgue o ataque. Por exemplo, os ataques de Ransomware que afetam os dados que a LGPD\/GDPR define como confidenciais exigem a divulga\u00e7\u00e3o obrigat\u00f3ria dos ataques, independentemente do volume de dados afetados. Por outro lado, os dados que n\u00e3o s\u00e3o considerados pessoais ou confidenciais geralmente n\u00e3o exigem a divulga\u00e7\u00e3o de uma viola\u00e7\u00e3o.<\/p>\n<p>Se a divulga\u00e7\u00e3o for necess\u00e1ria, siga as etapas especificadas pela estrutura regulat\u00f3ria relevante para divulgar o ataque. Normalmente, a divulga\u00e7\u00e3o envolve notificar as autoridades governamentais e \/ ou os consumidores cujos dados pessoais foram violados.<\/p>\n<p><strong>Resposta 2 \u2013 RESTAURAR SEUS ARQUIVOS DE BACKUP.<\/strong><\/p>\n<ul>\n<li>Localize seus backups. Certifique-se de que todos os arquivos de que voc\u00ea precisa est\u00e3o l\u00e1.<\/li>\n<li>Verifique a integridade dos backups (ou seja, a m\u00eddia n\u00e3o est\u00e1 lendo ou os arquivos corrompidos).<\/li>\n<li>Verifique se h\u00e1 C\u00f3pias Sombra (Shadow Copy), se poss\u00edvel (pode n\u00e3o ser uma op\u00e7\u00e3o em Ransomwares mais recentes).<\/li>\n<li>Verifique se h\u00e1 vers\u00f5es anteriores de arquivos que podem ser armazenados em nuvem, por exemplo, DropBox, Google Drive, OneDrive.<\/li>\n<li>Remova o Ransomware do sistema infectado.<\/li>\n<li>Restaure seus arquivos de backups.<\/li>\n<li>Determine o vetor de infec\u00e7\u00e3o e controle.<\/li>\n<\/ul>\n<p><strong>RESPOSTA 3\u00a0 \u2013 TENTAR DESCRIPTOGRAFAR<\/strong><\/p>\n<ul>\n<li>Depois de determinada a fam\u00edlia, determine a vers\u00e3o do Ransomware, se poss\u00edvel.<\/li>\n<li>Localize uma ferramenta de descriptografia. Pode n\u00e3o haver um para as fam\u00edlias mais recentes. Se for bem-sucedido, continue as etapas.<\/li>\n<li>Anexe qualquer m\u00eddia de armazenamento que contenha arquivos criptografados (discos r\u00edgidos, pen drives, etc.)<\/li>\n<li>Descriptografe os arquivos.<\/li>\n<li>Determine o vetor de infec\u00e7\u00e3o e o controle.<\/li>\n<\/ul>\n<p><strong>RESPOSTA 4 \u2013 N\u00c3O FAZER NADA (PERDER OS ARQUIVOS)<\/strong><\/p>\n<ul>\n<li>Remova o ransomware. Se for uma amea\u00e7a\u00a0<em>0day<\/em>, reinstale os sistemas afetados.<\/li>\n<li>Fa\u00e7a backup de seus arquivos criptografados para poss\u00edvel descriptografia futura (opcional).<\/li>\n<\/ul>\n<p><strong>RESPOSTA 5 \u2013 NEGOCIAR E\/OU PAGAR O RESGATE<\/strong><\/p>\n<blockquote><p><strong>N\u00e3o recomendamos que se pague o resgate, pois n\u00e3o existem garantias e ao pagar voc\u00ea estar\u00e1 incentivando o crime!<\/strong><br \/>\n<strong>Sabemos que para alguns casos esta pode ser a \u00faltima op\u00e7\u00e3o. Se os dados ou credenciais forem roubados voc\u00ea deve determinar se o resgate deve ser pago para evitar que dados ou credenciais sejam liberados publicamente.<\/strong><\/p><\/blockquote>\n<h2><strong>ETAPA 6 \u2013 PROTEGENDO-SE NO FUTURO<\/strong><\/h2>\n<p>Desenvolva e implante Pol\u00edticas e Controles de Seguran\u00e7a da Informa\u00e7\u00e3o. Veja aqui nosso\u00a0<a href=\"https:\/\/www.netdeep.com.br\/blog\/10-passos-para-se-proteger-contra-ransomware\/\" target=\"_blank\" rel=\"noopener\">outro artigo<\/a>\u00a0que lhe ajudar\u00e1 muito.<\/p>\n<p>A NETDEEP possui tecnologias e servi\u00e7os de Seguran\u00e7a da Informa\u00e7\u00e3o. Estamos h\u00e1 mais de uma d\u00e9cada ajudando centenas de empresas a obter mais seguran\u00e7a aos seus dados. Juntamente com nossa rede de parceiros estamos aptos a atender empresas de todo o pa\u00eds.<\/p>\n<p>Se voc\u00ea precisa de ajuda para implementar estes itens entre em\u00a0<a href=\"https:\/\/www.netdeep.com.br\/secure\/contato\/\">contato conosco.<\/a>\u00a0Ser\u00e1 um prazer lhe auxiliar. At\u00e9 a pr\u00f3xima!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os ataques de Ransomware colocaram a equipe de TI e os profissionais de Seguran\u00e7a da Informa\u00e7\u00e3o diante de um grande desafio. Empresas de todos os tamanhos e dos mais variados cen\u00e1rios tem sido atacadas e embora a melhor estrat\u00e9gia seja tomar medidas para evitar que ataques de Ransomware aconte\u00e7am, a realidade \u00e9 que, n\u00e3o h\u00e1&#8230;<\/p>\n","protected":false},"author":1,"featured_media":5320,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"class_list":["post-4893","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca-da-informacao","article-list-item","animate"],"_links":{"self":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/comments?post=4893"}],"version-history":[{"count":1,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4893\/revisions"}],"predecessor-version":[{"id":4895,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4893\/revisions\/4895"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media\/5320"}],"wp:attachment":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media?parent=4893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/categories?post=4893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/tags?post=4893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}