Foi vítima de ransomware? 7 passos para retomar o controlo da sua empresa

Em Portugal regista-se, em média, o ritmo alarmante de uma empresa atacada por ransomware a cada quatro horas, segundo o Observatório de Cibersegurança do CNCS. O impacto financeiro é pesado: o custo típico de um incidente ronda 4,7 milhões de euros e, nas linhas de produção automóvel, uma hora parada pode ultrapassar 2,1 milhões de euros!

[imagem 1 – Frase manchete – Em Portugal 1 empresa é atacada por Ransomware a cada 4 horas. Blogue e redes]

Se entrou neste artigo, provavelmente é porque está perante este problema. Se assim for, seguir o roteiro abaixo — já testado no terreno e alinhado com a lei portuguesa — ajuda a limitar danos, cumprir obrigações e recuperar a actividade. Preparado?

O que fazer perante um ataque de Ransomware

Estas são as 7 etapas que deve seguir, se infelizmente está perante um ataque de Ransomware. Não há atalhos: siga cada passo de forma rigorosa, para garantir que mitiga as consequências negativas do problema, tanto quanto possível.

1 – Mantenha a calma e confirme o que está em risco

As variantes modernas de ransomware praticam um conceito moderno (e assustador) chamado dupla extorsão: bloqueiam ficheiros e copiam dados para chantagem posterior. Antes de tomar decisões, reúna provas e avalie se existe fuga de informação ou apenas encriptação local.

O que deve fazer nesta fase é:

Fotografe o ecrã de aviso e guarde quaisquer extensões estranhas observadas;
Extraia logs da firewall, do antivírus e do servidor de ficheiros;
Liste servidores ainda operacionais, para perceber que partes do negócio continuam a produzir.

Com esta fotografia inicial, torna-se mais fácil conter o ataque e decidir que sistemas podem continuar a trabalhar em segurança na sua empresa. Vamos ao próximo passo?

2. Isole os sistemas afetados, mantendo-os ligados

Nesta fase, a prioridade deve ser travar a propagação:

Desligue cabos de rede ou Wi-Fi;
Retire a máquina do domínio (significa desfazer a associação do computador ao domínio Active Directory — em Windows faz-se com Remove-Computer (PowerShell) ou alterando o PC para um grupo de trabalho; a conta desse equipamento é desactivada no AD e o sistema precisa de reiniciar);
E feche partilhas SMB (significa desativar o serviço de “File and Printer Sharing” ou remover o recurso SMB File Sharing Support no Gestor de Funções/PowerShell; em alternativa, parar os serviços Server / Workstation ou bloquear as portas 445/139).

No entanto, evite cortar a energia, pois certas variantes destroem chaves de desencriptação quando detectam um reinício forçado. E se existirem ligações VPN activas, encerre-as de imediato para impedir que o atacante alcance servidores de cópia de segurança ou bases de dados de produção.

O que fazer quando sofre um ataque de Ransomware?

Uma contenção rápida costuma salvar infra-estruturas críticas — diferença que pode valer vários milhões de euros em custos evitados.

3. Por que razão pagar raramente resolve o problema

A tentação de pagar surge depressa, mas só metade das empresas que cedem ao pedido de resgate recupera efetivamente os dados; em 13 % dos casos a chave fornecida falha.

Por que razão não devo pagar o resgate num ataque de Ransomware?

Além disso, o pagamento:

Financia o crime;
Não impede a divulgação de cópias roubadas;
E pode violar sanções internacionais.

Organizações com planos de resposta bem ensaiados poupam em média 1,1 milhões de euros por incidente quando optam por não pagar e concentram esforços na recuperação técnica. É nestes exemplos que deve focar-se, mesmo nas horas de maior aflição!

4. Identifique a variante: pode haver ferramenta de desencriptação

O projecto No More Ransom disponibiliza chaves gratuitas para mais de 170 famílias de ransomware. Esta pode ser uma solução simples – e o problema pode acabar por aqui.

Carregue a nota de resgate ou um ficheiro cifrado no portal; se existir “decryptor”, teste-o numa cópia dos dados – nunca nos originais. Quando não há chave pública, avance para o restauro a partir dos backups limpos.

5. Recupere através de backups imutáveis — regra 3-2-1-1

Organizações que mantêm cópias imutáveis dos seus dados recuperam 99% da informação sem pagar resgate – mostram estudos do sector. Se nunca sofreu um ataque mas quer preparar a sua empresa da melhor forma possível, a regra 3-2-1-1 é um excelente ponto do partida.

Como aplicar a regra 3-2-1-1:

3 cópias de cada ficheiro no total;
2 suportes diferentes (por exemplo, disco local e cloud):
1 cópia guardada fora do edifício;
1 cópia imutável, protegida contra escrita e eliminação.

Teste o processo de restauro todos os meses: lembre-se que bancos e seguradoras começam a exigir evidências dessas simulações para renovar coberturas!

6. Notifique as autoridades competentes em 24 horas para cumprir a NIS 2

A directiva NIS 2 impõe um aviso preliminar ao CERT.PT no máximo de 24 horas após detetar o incidente; e um relatório completo até 72 horas depois. O contacto oficial é cert@cert.pt e o telefone é o 210 497 399.

Esta notificação precoce pode evitar coimas que chegam a 10 milhões de euros ou 2 % da facturação anual e permite aceder a apoio técnico governamental.

Devo avisar as autoridades se a minha empresa sofrer um ataque de Ransomware?

7. Descontamine, restaure e fortaleça a defesa

Depois de recuperar os dados, elimine “portas traseiras” e eleve os níveis de segurança:

Aplique actualizações aos sistemas explorados,
Ative MFA em contas privilegiadas
Segmente redes IT/OT segundo o princípio Zero Trust (o que reduz drasticamente movimentos laterais)

O que fazer depois de recuperar de um ataque de ransomware?

Lembre-se: formação anti-phishing contínua vai baixar (muito) a taxa de cliques que geram problemas deste género. Por ouro lado, ferramentas de asset discovery suportadas por IA encurtam o ciclo de deteção-contenção em cerca de 108 dias. Quando à formação, você pode pedir a sua de forma grátis aqui.

Quanto custa um ataque de Ransomware?

O prejuízo médio de uma ocorrência de ransomware é de 4,7 milhões de euros, mas pode ultrapassar 10 milhões de euros em ambientes industriais globais. Assustador, eu sei.

E voltando ao exemplo do início do artigo: se uma linha automóvel parar por exemplo dois dias, a fatura ascende a cerca de 100 milhões de euros (2,1 M €/h × 48 h). A estes números somam-se:

Perda de reputação;
Eventuais sanções legais.

O prejuízo médio de um ataque de Ransomware é de 4,7 milhões de euros

Quer um exemplo real?

O relatório “Riscos & Conflitos 2024” do CNCS aponta o ransomware como a ameaça de maior impacto, com a indústria a concentrar 33,9 % dos incidentes divulgados no segundo trimestre.

Em Outubro de 2024, um ataque à AMA afetou os portais Autenticação.gov e Gov.ID, expondo a criticidade dos serviços públicos digitais. Empresas que já praticavam segmentação OT e ensaios de restauro conseguiram limitar a paragem a menos de 24 horas, demonstrando a eficácia dos passos descritos acima.

FAQ — perguntas que recebemos sobre o tema

1. Tenho mesmo de denunciar o ataque?
Sim. Se a sua organização for classificada como “essencial” ou “importante” pela NIS 2, tem 24 horas para enviar um alerta preliminar ao CERT.PT e 72 horas para um relatório detalhado. O incumprimento pode custar até 10 milhões de euros ou 2 % da faturação global, consoante o valor mais alto.

2. Posso recuperar os meus dados e ficheiros sem pagar o resgate?
Na maioria dos casos, sim. O portal No More Ransom já disponibiliza ferramentas de desencriptação para mais de 170 variantes de ransomware; além disso, lembre-se de que cópias de segurança imutáveis garantem recuperação total, mesmo quando não há chave pública.

3. O meu seguro cobre o pagamento ao criminoso?
Nem sempre. Muitas apólices cobrem custos de investigação, restauro e assessoramento jurídico, mas exigem autorização prévia antes de qualquer transação com criminosos. Além disso, pagar pode violar listas de sanções internacionais e anular a cobertura.

O seguro da minha empresa cobre pagamento a criminosos em caso de ataque de Ransomware?

4. Qual é a vantagem de backups imutáveis versus tradicionais?
Backups convencionais podem ser encriptados ou apagados pelo próprio ransomware; cópias imutáveis, guardadas num “cofre” inviolável, não podem ser alteradas nem por administradores locais. Isso explica porque razão 99% das empresas que usam a estratégia 3-2-1-1 recuperam os seus ficheiros sem pagar resgates.

5. A formação anti-phishing faz mesmo diferença?
Sim. Relatórios de 2025 mostram que programas de doze meses reduzem a taxa de cliques maliciosos para 4,1 %, contra mais de 30 % em organizações sem treino regular. Menos credenciais roubadas significam menos portas de entrada para o ransomware.

Sabia que programas formação empresarial em cibersegurança reduzem a taxa de cliques maliciosos para 4,1%?

6. Quanto tempo demora a Morebiz a chegar às minhas instalações, em caso de problemas?
Para clientes com contrato de resposta rápida, um técnico desloca-se em até quatro horas a qualquer ponto de Portugal Continental, enquanto outra equipa opera em paralelo por acesso remoto para acelerar a contenção. Esse duplo vector minimiza o downtime e mantém a empresa a produzir, tanto quanto possível.

Conclusão

Os ciberataques por ransomware deixaram de ser um cenário remoto e passaram a ser um teste regular à resiliência das empresas portuguesas. Quando dispõe de processos claros — isolar, restaurar, notificar e reforçar — uma organização transforma aquilo que poderia ser uma crise milionária numa prova de maturidade tecnológica e de liderança.

A Morebiz está preparada para acompanhar esse percurso, combinando resposta 24/7, auditorias IT/OT e back-ups imutáveis que devolvem a operação em poucas horas. Se quer garantir que o próximo incidente é apenas um contratempo e não um ponto final, fale connosco hoje mesmo e comece já a reforçar o escudo da sua empresa!