Ransomware

O ransomware é uma forma de malware que bloqueia o acesso do utilizador aos seus ficheiros ou ao seu dispositivo, exigindo depois um pagamento para restaurar o acesso. Os atacantes de ransomware atingem empresas, organizações e indivíduos de igual modo.

Antivírus gratuito

Principais conclusões

  • O ransomware é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou aos seus ficheiros pessoais até que seja pago um resgate. Daí o nome «ransomware».
  • Os pagamentos de resgate ultrapassaram os mil milhões de dólares por ano pela primeira vez em 2023, enquanto o valor médio do resgate subiu para 620 000 dólares.
  • Em 2024, Threatdown um aumento de 63% nos ataques de ransomware nos EUA e um aumento de 67% nos ataques de ransomware no Reino Unido. 
  • Desde 2026, os atacantes têm vindo a melhorar a rapidez e a discrição dos seus ataques através de novas táticas. 
  • Existem diferentes tipos de ransomware, tais como scareware, bloqueadores de ecrã, ransomware de encriptação e outros.
  • Os ataques de ransomware afetam as empresas, mas os consumidores particulares também são vítimas.

O que é o ransomware?

Definição de ransomware

O malware de resgate, ou ransomware, é um tipo de malware que impede os utilizadores de acederem ao seu sistema ou ficheiros pessoais e exige o pagamento de um resgate para recuperar o acesso. Embora algumas pessoas possam pensar "um vírus bloqueou o meu computador", o ransomware é normalmente classificado como uma forma de malware diferente de um vírus.

As primeiras variantes de ransomware foram desenvolvidas no final da década de 1980 e o pagamento devia ser enviado por correio postal. Atualmente, os autores de ransomware ordenam que o pagamento seja enviado através de moeda criptográfica ou cartão de crédito, e os atacantes visam indivíduos, empresas e organizações de todos os tipos. Alguns autores de ransomware vendem o serviço a outros cibercriminosos, o que é conhecido como Ransomware-as-a-Service ou RaaS.

Ataques de ransomware

Como é que um agente de ameaça executa exatamente um ataque de ransomware? Primeiro, tem de obter acesso a um dispositivo ou rede. O acesso permite-lhes utilizar o malware necessário para encriptar, ou bloquear, o dispositivo e os dados. Há várias formas diferentes de o ransomware infetar o computador

Como é que apanho ransomware?

  • Malspam: Para obter acesso, alguns agentes de ameaças utilizam o spam, enviando uma mensagem de correio eletrónico com um anexo malicioso ao maior número possível de pessoas, para ver quem abre o anexo e "morde o isco", por assim dizer. O spam malicioso, ou malspam, é um correio eletrónico não solicitado que é utilizado para distribuir malware. O correio eletrónico pode incluir anexos com armadilhas, como PDFs ou documentos Word. Pode também conter ligações para sítios Web maliciosos.
  • Malvertising: Outro método de infeção popular é o malvertising. Malvertising, ou publicidade maliciosa, é a utilização de publicidade online para distribuir malware com pouca ou nenhuma interação do utilizador. Enquanto navegam na Web, mesmo em sites legítimos, os utilizadores podem ser direcionados para servidores criminosos sem nunca clicar num anúncio. Estes servidores catalogam detalhes sobre os computadores das vítimas e as suas localizações e, em seguida, selecionam o malware mais adequado para distribuir. Muitas vezes, esse malware é ransomware. O malvertising utiliza frequentemente uma iframe infetada, ou um elemento invisível de uma página Web, para fazer o seu trabalho. O iframe redirecciona para uma página de destino de exploração e o código malicioso ataca o sistema a partir da página de destino através de um kit de exploração. Tudo isto acontece sem o conhecimento do utilizador, razão pela qual é muitas vezes referido como "drive-by-download".
  • Spear phishing: Um meio mais direcionado para um ataque de ransomware é através de spearphishing. Um exemplo de spear phishing seria o envio de mensagens de correio eletrónico para os funcionários de uma determinada empresa, alegando que o CEO está a pedir para fazer um inquérito importante aos funcionários, ou que o departamento de RH está a pedir para descarregar e ler uma nova política. O termo "whaling" é utilizado para descrever estes métodos dirigidos a decisores de alto nível de uma organização, como o CEO ou outros executivos.
  • Engenharia social: Malspam, malvertising e spear phishing podem conter, e muitas vezes contêm, elementos de engenharia social. Os agentes da ameaça podem utilizar a engenharia social para enganar as pessoas e levá-las a abrir anexos ou a clicar em ligações, fazendo-as passar por legítimas, quer pareçam ser de uma instituição de confiança ou de um amigo. Os cibercriminosos utilizam a engenharia social noutros tipos de ataques de ransomware, como fazer-se passar pelo FBI para assustar os utilizadores e levá-los a pagar uma quantia em dinheiro para desbloquear os seus ficheiros. Outro exemplo de engenharia social é quando um agente de ameaça recolhe informações dos seus perfis públicos nas redes sociais sobre os seus interesses, locais que visita frequentemente, o seu emprego, etc., e utiliza algumas dessas informações para lhe enviar uma mensagem que lhe parece familiar, esperando que clique antes de se aperceber que não é legítima. 
Infografia sobre malvertising e ransomware.

Encriptar ficheiros e exigir um resgate

Qualquer que seja o método utilizado pelo agente da ameaça, uma vez obtido o acesso e o software de ransomware (normalmente ativado pela vítima ao clicar numa hiperligação ou ao abrir um anexo) encripta os seus ficheiros ou dados para que não lhes possa aceder, verá então uma mensagem a exigir o pagamento de um resgate para restaurar o que foi retirado. Muitas vezes, o atacante exige o pagamento através de criptomoeda.

Tipos de ransomware

Os três principais tipos de ransomware incluem scareware, bloqueadores de ecrã e ransomware de encriptação:

  • Scareware: O scareware, ao que parece, não é assim tão assustador. Inclui software de segurança desonesto e esquemas de apoio técnico. Poderá receber uma mensagem pop-up a dizer que foi descoberto malware e que a única forma de se livrar dele é pagar. Se não fizer nada, é provável que continue a ser bombardeado com pop-ups, mas os seus ficheiros estão essencialmente seguros. Um programa de software de segurança cibernética legítimo não solicitaria clientes desta forma. Se ainda não tem o software desta empresa no seu computador, então ela não o estará a monitorizar para detetar infecções de ransomware. Se tiver um software de segurança, não precisa de pagar para que a infeção seja removida - já pagou pelo software para fazer esse trabalho.
  • Bloqueadores de ecrã: Atualização para alerta laranja de terror para estes tipos. Quando o ransomware de ecrã bloqueado entra no seu computador, significa que fica completamente fora do seu PC. Ao iniciar o computador, aparece uma janela de tamanho normal, muitas vezes acompanhada por um selo oficial do FBI ou do Departamento de Justiça dos EUA, que diz que foi detectada uma atividade ilegal no computador e que tem de pagar uma multa. No entanto, o FBI não bloqueia o acesso ao seu computador nem exige o pagamento de uma atividade ilegal. Se suspeitassem de pirataria, pornografia infantil ou outros cibercrimes, recorreriam aos canais legais adequados.
  • Ransomware de encriptação: Este é o material verdadeiramente desagradável. Estes são os tipos que se apoderam dos seus ficheiros e os encriptam, exigindo um pagamento para os desencriptar e voltar a entregar. A razão pela qual este tipo de ransomware é tão perigoso é porque, quando os cibercriminosos se apoderam dos seus ficheiros, nenhum software de segurança ou restauro do sistema pode devolvê-los. A menos que pague o resgate, na maior parte dos casos, eles desaparecem. E mesmo que pague, não há qualquer garantia de que os cibercriminosos lhe devolvam os ficheiros.

Ransomware Mac

Saiba mais sobre o KeRanger, o primeiro verdadeiro ransomware Mac .

Para não ficarem de fora do jogo do ransomware, os autores de malware Mac lançaram o primeiro ransomware para Mac OS em 2016. Chamado de KeRanger, o ransomware infectou um aplicativo chamado Transmission que, quando iniciado, copiava arquivos maliciosos que permaneciam rodando silenciosamente em segundo plano por três dias até detonarem e criptografarem arquivos. Felizmente, o XProtect, o programa anti-malware integrado da Apple, lançou uma atualização pouco depois de o ransomware ter sido descoberto, impedindo-o de infetar os sistemas dos utilizadores. No entanto, o ransomware Mac não é mais teórico. 

A seguir ao KeRanger surgiram o Findzip e o MacRansom, ambos descobertos em 2017. Mais recentemente, em 2020, foi descoberto o que parecia ser ransomware(ThiefQuest, também conhecido como EvilQuest), mas que na realidade era o chamado "wiper". Fingia ser ransomware para encobrir o facto de que estava a exfiltrar todos os dados do utilizador e, embora encriptasse ficheiros, nunca tinha uma forma de os utilizadores os desencriptarem ou contactarem o grupo para pagamentos. 

Ransomware móvel

Foi só no auge do infame CryptoLocker e de outras famílias semelhantes em 2014 que o ransomware foi visto em grande escala nos dispositivos móveis. O ransomware para dispositivos móveis apresenta normalmente uma mensagem informando que o dispositivo foi bloqueado devido a algum tipo de atividade ilegal. A mensagem indica que o telemóvel será desbloqueado após o pagamento de uma taxa. O ransomware móvel é frequentemente distribuído através de aplicações maliciosas e exige que o utilizador arranque o telefone em modo de segurança e elimine a aplicação infetada para recuperar o acesso ao seu dispositivo móvel.

Como é que posso remover ransomware?

Diz-se que mais vale um grama de prevenção do que um quilo de cura. Isto é certamente verdade quando se trata de ransomware. Se um atacante encriptar o seu dispositivo e pedir um resgate, não há qualquer garantia de que o irá desencriptar, quer pague ou não.

É por isso que é fundamental estar preparado antes de ser atingido por ransomware. Dois passos fundamentais a tomar são:

  • Instale software de segurança antes de ser atingido por ransomware
  • Cópia de segurança dos seus dados importantes (ficheiros, documentos, fotografias, vídeos, etc.)

Se se deparar com uma infeção de ransomware, a regra número um é nunca pagar o resgate. (Tudo o que isso faz é encorajar os cibercriminosos a lançar ataques adicionais contra si ou contra outra pessoa. 

Uma opção potencial para remover ransomware é a possibilidade de recuperar alguns ficheiros encriptados utilizando desencriptadores gratuitos. Para ser claro: nem todas as famílias de ransomware têm desencriptadores criados para elas, em muitos casos porque o ransomware utiliza algoritmos de encriptação avançados e sofisticados.

E mesmo que haja um desencriptador, nem sempre é claro se é para a versão correta do malware. Não quer encriptar ainda mais os seus ficheiros utilizando o script de desencriptação errado. Por isso, é preciso prestar muita atenção à mensagem de resgate em si, ou talvez pedir o conselho de um especialista em segurança/TI antes de tentar qualquer coisa.

Outras formas de lidar com uma infeção de ransomware incluem o descarregamento de um produto de segurança conhecido pela remediação e a execução de uma verificação para remover a ameaça. Pode não recuperar os seus ficheiros, mas pode ter a certeza de que a infeção será limpa. No caso do ransomware de bloqueio de ecrã, poderá ser necessária uma restauração completa do sistema. Se isso não funcionar, pode tentar executar uma verificação a partir de um CD de arranque ou de uma unidade USB.

Se quiser tentar impedir uma infeção de ransomware de encriptação em ação, terá de se manter particularmente vigilante. Se notar que o seu sistema está a ficar lento sem razão aparente, desligue-o e desconecte-o da Internet. Se, uma vez reiniciado, o malware ainda estiver ativo, não será capaz de enviar ou receber instruções do servidor de comando e controlo. Isto significa que sem uma chave ou uma forma de extrair o pagamento, o malware pode ficar inativo. Nesse momento, descarregue e instale um produto de segurança e execute uma verificação completa.

No entanto, estas opções de remoção de ransomware não funcionam em todos os casos. Tal como referido acima, para os consumidores, seja proactivo na sua defesa contra o ransomware, instalando software de segurança como o Malwarebytes Premiume fazendo cópias de segurança de todos os seus dados importantes. Para as empresas, saiba mais sobre as soluções empresariais Malwarebytes que incluem deteção, prevenção e reversão de ransomware

Como é que me protejo do ransomware?

Os especialistas em segurança concordam que a melhor forma de proteção contra o ransomware é, em primeiro lugar, evitar que ele aconteça.


Leia sobre as melhores formas de evitar uma infeção por ransomware.

Leia sobre as melhores formas de evitar uma infeção por ransomware.

Embora existam métodos para lidar com uma infeção de ransomware, são soluções imperfeitas, na melhor das hipóteses, e muitas vezes requerem muito mais conhecimentos técnicos do que o utilizador médio de computador. Por isso, aqui está o que recomendamos que as pessoas façam para evitar as consequências de ataques de ransomware.

O primeiro passo na prevenção do ransomware é investir numa cibersegurança fantástica - um programa com proteção em tempo real concebido para impedir ataques de malware avançado, como o ransomware. Deve também procurar funcionalidades que protejam os programas vulneráveis de ameaças (uma tecnologia anti-exploração) e que impeçam o ransomware de manter os ficheiros reféns (uma componente anti-ransomware ). Os clientes que utilizavam a versão premium do Malwarebytes para Windows, por exemplo, estavam protegidos contra todos os principais ataques de ransomware de 2017.

Em seguida, por mais que isso possa ser doloroso, é necessário criar backups seguros dos seus dados regularmente. A nossa recomendação é usar armazenamento em nuvem que inclua criptografia de alto nível e autenticação multifatorial. No entanto, pode comprar USBs ou um disco rígido externo onde pode guardar ficheiros novos ou atualizados — apenas certifique-se de desligar fisicamente os dispositivos do seu computador após fazer o backup, caso contrário, eles também podem ser infetados por ransomware.

Depois, certifique-se de que os seus sistemas e software estão actualizados. O surto de ransomware WannaCry aproveitou-se de uma vulnerabilidade no software da Microsoft. Embora a empresa tenha lançado uma correção para a falha de segurança em março de 2017, muitas pessoas não instalaram a atualização, o que as deixou expostas ao ataque. Sabemos que é difícil manter-se a par de uma lista crescente de actualizações de uma lista crescente de software e aplicações utilizadas no seu dia a dia. É por isso que recomendamos que altere as suas definições para ativar a atualização automática.

Por último, mantenha-se informado. Uma das formas mais comuns de os computadores serem infectados com ransomware é através da engenharia social. Eduque-se a si próprio(e aos seus funcionários, se for proprietário de uma empresa) sobre como detetar malspam, sites suspeitos e outras fraudes. E, acima de tudo, use o bom senso. Se parece suspeito, provavelmente é.

Quem são hackers?

O que é scareware?

O que é spyware?