O VSS está ativado por predefinição no Windows 10/11?

Sim, mas apenas na partição do sistema (normalmente C:). A Proteção do Sistema está ativada de origem para o volume onde o Windows está instalado, com uma área de armazenamento reservada de 1 a 15 % do volume consoante o seu tamanho. Os outros volumes (D:, E:, discos externos) têm o VSS desativado por predefinição – tem de o ativar manualmente em Propriedades do Sistema > Proteção do Sistema > Configurar.

Com que frequência o Windows cria pontos de restauro e cópias de sombra?

O Windows cria automaticamente um ponto de restauro antes de cada instalação de uma atualização do Windows, antes de cada instalação de um controlador assinado e uma vez a cada 24 horas se nenhum outro tiver sido criado (Win 10 1607+). As cópias de sombra dos ficheiros do utilizador não são criadas automaticamente nos volumes que não são de sistema – ou ativa o Histórico de Ficheiros (Windows 10) / Histórico de Ficheiros (Windows 11), ou agenda manualmente uma tarefa `vssadmin create shadow`.

As cópias de sombra podem ser recuperadas após vssadmin delete shadows /all?

Em parte. O comando elimina as entradas VSS visíveis, mas não sobrescreve necessariamente os blocos subjacentes da área de armazenamento da System Volume Information. Software de recuperação como o EaseUS Data Recovery Wizard ou o NirSoft ShadowCopyView pode por vezes recuperar fragmentos. A janela é curta (horas a dias consoante a atividade do disco) – cada nova escrita sobrescreve estes fragmentos.

Quanto espaço se deve atribuir ao VSS para uma proteção eficaz?

A Microsoft recomenda 10 a 15 % do volume para uso padrão. Num SSD de 512 GB com cargas de trabalho de escritório moderadas, 50 GB atribuídos cobrem cerca de 3 a 4 semanas de versões de ficheiros. Para uso intenso (edição de vídeo, desenvolvimento, máquinas virtuais), aumente para 20 %. O comando `vssadmin resize shadowstorage` permite ajustar este limite a posteriori.

Qual é a diferença entre VSS, Histórico de Ficheiros e Cópia de Segurança do Windows?

O VSS é o motor de baixo nível (cópia ao escrever ao nível do bloco) em que as três funcionalidades assentam. O Histórico de Ficheiros (Win 10) / Histórico de Ficheiros (Win 11) faz cópia de segurança das bibliotecas do utilizador para um disco externo a intervalos regulares. A Cópia de Segurança do Windows (Win 10) / Cópia de Segurança e Restauro cria imagens de sistema completas. As três usam o VSS para congelar o sistema no momento da captura, mas diferem no destino de armazenamento e na granularidade.

Cópias de sombra do Windows: recuperação de ficheiros e fragilidades face ao ransomware

O Volume Shadow Copy Service (VSS) é um dos mecanismos mais poderosos – e menos conhecidos – do Windows para recuperar ficheiros eliminados, modificados ou cifrados. Presente desde o Windows XP / Server 2003, está na base da aba Versões Anteriores, do Histórico de Ficheiros, da Cópia de Segurança do Windows, da maioria das ferramentas de backup de terceiros (Veeam, Acronis, Macrium) e dos utilitários forenses usados pelos investigadores.

Tem um reverso da medalha: os operadores de ransomware modernos (LockBit, Conti, REvil, Royal, BlackCat) conhecem-no. O primeiro comando que o seu dropper executa, ainda antes de a cifragem começar, é quase sempre vssadmin delete shadows /all /quiet. Compreender o VSS – como funciona, como o usar e como recuperar dados mesmo após a destruição – é a diferença entre uma perda total e um restauro em minutos.

Este guia cobre os aspetos internos do VSS, os comandos operacionais, as ferramentas de terceiros e as técnicas forenses pós-ataque.

Volume Shadow Copy Service: arquitetura e funcionamento interno

Origens e papel

O VSS foi introduzido com o Windows Server 2003 (e retroportado para o Windows XP SP1) para resolver um problema industrial: fazer a cópia de segurança de um volume ativo sem parar as aplicações que escrevem nele. Antes do VSS, as cópias de segurança exigiam o encerramento completo de um serviço (SQL Server, Exchange) ou a aceitação de ficheiros inconsistentes.

O VSS introduz um mecanismo de instantâneo num ponto no tempo que congela o estado lógico do volume no instante T enquanto as escritas continuam. Qualquer leitura sobre o instantâneo vê os dados tal como estavam no instante T; as novas escritas vão para o volume ativo.

Os três componentes

O serviço VSS orquestra três papéis distintos que cooperam:

Requestor: a aplicação que pede um instantâneo (Cópia de Segurança do Windows, Histórico de Ficheiros, Veeam, robocopy com /B, Acronis ou um script PowerShell).
Writer: para cada aplicação que escreve continuamente (SQL Server, Exchange, Active Directory, Hyper-V, IIS, o registo do Windows), um writer expõe uma interface que permite ao VSS pedir uma descarga transacional antes do instantâneo. Numa instalação padrão do Windows estão registados mais de 30 writers.
Provider: o componente que cria de facto o instantâneo. O provider de sistema predefinido (Microsoft Software Shadow Copy provider) usa cópia ao escrever ao nível do bloco NTFS. Existem outros providers: hardware (arrays SAN), iSCSI, ReFS no Windows Server.

O mecanismo de cópia ao escrever

No momento do instantâneo, o VSS não copia nada. Apenas regista o estado dos metadados NTFS na System Volume Information do volume (uma pasta raiz oculta).

Depois, a cada escrita num bloco que existia no momento do instantâneo, o bloco original é copiado para a área de armazenamento da System Volume Information antes de ser sobrescrito. As novas escritas em blocos que estavam vazios no momento do instantâneo não despoletam qualquer cópia.

Consequências práticas:

Um instantâneo consome inicialmente zero espaço.
O espaço cresce na proporção das modificações posteriores ao instantâneo, não do tamanho do volume.
Um volume muito ativo (edição de vídeo em curso, uma VM em execução) consome rapidamente o espaço reservado.
Os instantâneos são efémeros: quando a área reservada está cheia, os mais antigos são eliminados automaticamente (FIFO).
As cópias de sombra não são portáteis – residem na System Volume Information do volume de origem. Se o disco falhar, desaparecem com ele.

Ativação e configuração no Windows 10/11

Estado predefinido

Volume	Proteção do Sistema	Espaço reservado	Cópias de sombra criadas
C: (sistema)	Ativada	1 a 15 % do tamanho do disco	Em cada atualização / controlador / 24 h
D:, E:, outros internos	Desativada	0	Nenhuma
Discos USB externos	Desativada	0	Nenhuma
Volumes ReFS / de rede	Não suportados do lado do cliente	—	—

Ativar a proteção do sistema num volume

Tecla Windows + escreva "criar um ponto de restauro" > Criar um ponto de restauro.
Aba Proteção do Sistema > selecione o volume > Configurar.
Marque Ativar proteção do sistema.
Defina a utilização máxima (cursor 1 a 100 %). Recomendado: 10 a 15 % para uso padrão, 20 % para cargas de trabalho intensas.
OK > Crie um ponto de restauro manual inicial.

Afinação via PowerShell

# Enable system protection on D:
Enable-ComputerRestore -Drive "D:\"

# Set the allocated space to 10% of the volume
vssadmin resize shadowstorage /for=D: /on=D: /maxsize=10%

# Create an immediate restore point
Checkpoint-Computer -Description "Before project migration" -RestorePointType "MODIFY_SETTINGS"

Nota: o Checkpoint-Computer está limitado por predefinição a uma chamada a cada 24 horas no Windows 10/11. Para contornar, defina a chave de registo HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\SystemRestorePointCreationFrequency como 0.

Método 1 – Versões Anteriores através do Explorador de Ficheiros

É a forma mais simples, acessível a qualquer utilizador:

No Explorador de Ficheiros, clique com o botão direito no ficheiro ou pasta de que quer uma versão anterior.
Propriedades > aba Versões Anteriores.
A lista apresenta as versões disponíveis através das cópias de sombra VSS e/ou do Histórico de Ficheiros.
Selecione uma versão, Abrir para pré-visualizar, Restaurar para sobrescrever o ficheiro atual, ou Copiar para exportar para outro local.

Quando a aba está vazia

Várias causas possíveis:

Não existe qualquer cópia de sombra neste volume (verifique com vssadmin list shadows).
O ficheiro não existia no momento das cópias de sombra disponíveis.
O Histórico de Ficheiros não está configurado e o VSS está desativado.
O ficheiro está no OneDrive ou num volume de rede (use antes o histórico de versões do serviço na nuvem).

Se sabe que existem cópias de sombra (o comando lista-as) mas a aba continua vazia para uma pasta específica, muitas vezes a pasta foi renomeada entretanto. Nesse caso, navegue através do ShadowExplorer (método 3) usando o nome antigo.

Método 2 – vssadmin na linha de comandos

A ferramenta vssadmin.exe vem com todas as versões do Windows. Tem de ser iniciada a partir de uma linha de comandos de administrador (clique com o botão direito > Executar como administrador).

Comandos essenciais

:: List all shadow copies on the system
vssadmin list shadows

:: List only those on volume C:
vssadmin list shadows /for=C:

:: See allocated and used space per volume
vssadmin list shadowstorage

:: Resize reserved space on C:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=20GB

:: Delete the oldest shadow copy on volume C:
vssadmin delete shadows /for=C: /oldest

:: List registered writers
vssadmin list writers

Criação manual de uma cópia de sombra

Importante: o vssadmin create shadow só está disponível no Windows Server, não nas edições cliente (Windows 10/11 Home, Pro, Enterprise). Numa máquina cliente, existem várias soluções alternativas:

# Method 1: WMI / CIM (Windows 10/11 client)
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Method 2: Checkpoint-Computer (triggers a restore point + shadow copy)
Checkpoint-Computer -Description "Manual snapshot" -RestorePointType "MODIFY_SETTINGS"

# Method 3: DiskShadow (built-in utility, .txt scripts)
diskshadow /s scriptfile.txt

Um scriptfile.txt para o DiskShadow tem este aspeto:

set context persistent nowriters
add volume C: alias systemvolume
create
expose %systemvolume% Z:

Após a execução, o instantâneo é montado em apenas leitura na letra de unidade Z: e permanece acessível até ao reinício seguinte.

Método 3 – ShadowExplorer para a navegação em árvore

A interface Versões Anteriores do Windows é limitada: um ficheiro de cada vez, sem comparação de versões, por vezes oculta cópias de sombra válidas. O ShadowExplorer (gratuito, shadowexplorer.com) levanta estes limites.

Instalar e usar

Transfira o instalador de shadowexplorer.com (verifique a assinatura; a última versão estável é a 0.9, antiga mas ainda funcional).
Execute a aplicação como administrador.
Menu pendente no topo: escolha o volume e depois a data do instantâneo.
Navegue na árvore como no Explorador de Ficheiros.
Clique com o botão direito no ficheiro ou pasta > Exportar > escolha um destino fora do volume de origem.

Vantagens face à aba Versões Anteriores

Mostra todas as cópias de sombra, incluindo as órfãs (em falta na base de dados VSS principal).
Exportação recursiva de árvores inteiras com um clique.
Navegação por data, independente dos nomes de ficheiro atuais.
Funciona mesmo quando a interface do Windows está corrompida.

O ShadowExplorer não exige qualquer escrita no volume de origem – estritamente em apenas leitura, sem risco de sobrescrever dados recuperáveis.

Método 4 – Montar manualmente uma cópia de sombra

Para casos complexos (script forense, acesso a um ficheiro específico sem GUI), monte a cópia de sombra diretamente como volume.

:: 1. List available shadow copies
vssadmin list shadows /for=C:

:: Note the "Shadow Copy Volume" which looks like:
:: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42

:: 2. Create a symlink to the shadow copy
mklink /D C:\shadow42 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42\

:: 3. Browse the folder
dir C:\shadow42\Users\Eric\Documents\

:: 4. Copy the needed files
robocopy C:\shadow42\Users\Eric\Documents\ D:\restore /E /COPYALL

:: 5. Remove the symlink after use
rmdir C:\shadow42

A barra final no comando mklink é obrigatória – sem ela, o acesso falha com um erro de caminho inválido.

Este método é ideal para criar scripts de restauro em grande escala (frotas de estações de trabalho, NAS Windows, servidores) e para contornar os bloqueios da GUI.

Ataques de ransomware contra o VSS

O padrão comum

Mais de 80 % das famílias de ransomware ativas em 2026 executam uma variante do seguinte comando nos primeiros segundos da infeção, antes de qualquer cifragem:

vssadmin delete shadows /all /quiet

Este comando elimina todas as cópias de sombra em todos os volumes, sem qualquer confirmação. A operação demora segundos.

Variantes observadas em estirpes recentes:

# LockBit 3.0 — wiping via WMI to bypass EDRs watching vssadmin
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Conti — bcdedit to disable recovery options
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

# Royal — vssadmin + wbadmin combo to also wipe Windows Backup
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup -keepversions:0

# REvil / Sodinokibi — disables the VSS service itself
sc config VSS start= disabled
net stop VSS

Porquê visar o VSS

Sem cópias de sombra, a vítima não tem qualquer opção de recuperação local imediata. Ou dispõe de um backup offline (raro nas PME), ou paga. O retorno do investimento do ataque depende diretamente da destruição do VSS – é por isso que cada RaaS (Ransomware-as-a-Service) inclui este código nas suas builds predefinidas.

Deteção através dos Event ID

O Windows regista certas operações do VSS. Para monitorizar em Visualizador de Eventos > Registos do Windows > Sistema:

Event ID	Origem	Significado
8224	VSS	Serviço VSS parado (suspeito se não agendado)
8193	VSS	Falha na criação de uma cópia de sombra
524	VSS / Backup	Eliminação de uma cópia de sombra (comando vssadmin delete)
7036	Service Control Manager	Serviço VSS desativado
13	volsnap	Área de armazenamento cheia, cópias de sombra mais antigas descartadas

Uma correlação entre o Event ID 524 + o Event ID 8224 dentro de uma janela curta (menos de um minuto), sobretudo fora dos horários de backup agendados, é um forte indicador de atividade de ransomware. Os EDR maduros (Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity) despoletam um alerta sobre esta correlação.

Recuperação após a destruição do VSS

Uma vez apagadas as cópias de sombra, os dados não estão imediatamente perdidos. A eliminação do VSS marca as entradas na base de dados VSS como livres, mas não sobrescreve ativamente os blocos da área de armazenamento (pasta System Volume Information).

Janela de oportunidade

Enquanto os blocos não forem sobrescritos por novas escritas, são teoricamente recuperáveis. A janela depende de:

Atividade do disco (um SSD cheio com TRIM agressivo reduz a janela a minutos).
Tipo de sistema de ficheiros (o NTFS preserva mais tempo do que o ReFS).
Uso pós-ataque (se a máquina continua a funcionar e a escrever, a janela estreita-se).

Reflexo imediato: desligar ou pôr o sistema em apenas leitura o mais depressa possível. Cada ação no disco reduz as probabilidades de recuperação.

Ferramenta 1 – EaseUS Data Recovery Wizard

O EaseUS Data Recovery Wizard integrou, desde a versão 16, um módulo dedicado aos fragmentos VSS residuais. Procedimento:

Nunca instale o EaseUS no disco de origem. Instale a partir de uma pen USB ou de um segundo disco.
Ligue o disco infetado em apenas leitura (caixa USB com interruptor de escrita ou um bloqueador de escrita por hardware).
Inicie o EaseUS Data Recovery Wizard, escolha o volume de destino, selecione Análise profunda.
No fim, filtre por tipo de ficheiro e por data anterior ao ataque.
Marque os ficheiros a recuperar, Restaurar para um disco separado do sistema infetado.

Num benchmark de 12 casos reais pós-LockBit/Conti documentados em 2025, a taxa de recuperação média via EaseUS sobre fragmentos VSS residuais é de 22 a 45 % do conteúdo – não é ótima, mas muitas vezes melhor do que recuperar apenas ficheiros temporários.

Escolha editorial

4.5 / 5

Inicie uma análise com o EaseUS Data Recovery Wizard

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB

Ver a oferta

Ferramenta 2 – NirSoft ShadowCopyView

O ShadowCopyView (gratuito, nirsoft.net/utils/shadow_copy_view.html) é um utilitário portátil que analisa diretamente a System Volume Information e lista as cópias de sombra, incluindo as marcadas como eliminadas pelo VSS mas cujos blocos ainda estão presentes.

Sem análise profunda (sem file carving), mas extremamente rápido para validar que existem fragmentos antes de avançar para uma ferramenta mais pesada.

Ferramenta 3 – File carving na System Volume Information

Como último recurso, ferramentas forenses como o PhotoRec, o R-Studio ou o Autopsy podem fazer file carving (procura de assinaturas binárias) diretamente nos blocos livres do volume. Esta abordagem ignora a estrutura NTFS mas por vezes recupera ficheiros identificáveis pelo seu cabeçalho (.docx, .jpg, .pdf, .xlsx).

Combinar esta técnica com uma passagem por $RECYCLE.BIN (reciclagem do sistema) e pela System Volume Information (área de armazenamento do VSS) aumenta a taxa de recuperação em 5 a 15 pontos nos benchmarks.

Consulte também o nosso guia Recuperar ficheiros após um ransomware para a metodologia de resposta completa.

Proteção preventiva

Configurar o VSS de forma defensiva reduz o impacto de um ataque.

Tarefas frequentes de cópia de sombra agendadas

Numa estação de trabalho Windows 10/11, crie uma tarefa agendada que faça um instantâneo a cada 6 horas:

# Script saved as C:\Scripts\New-ShadowCopy.ps1
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Scheduled task creation
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\Scripts\New-ShadowCopy.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 6am -RepetitionInterval (New-TimeSpan -Hours 6)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ShadowCopy-6h" -Action $action -Trigger $trigger -Principal $principal

Um backup imutável em paralelo

O VSS é local e não portátil – desaparece com o disco. Para sobreviver a um ataque que apaga o VSS e cifra a estação de trabalho, mantenha um backup fora da máquina:

Backup imutável na nuvem (Backblaze B2 com Object Lock, Wasabi Compliance Mode, AWS S3 Object Lock).
Disco externo air-gapped ligado apenas para o backup semanal.
NAS com instantâneos imutáveis (Synology Btrfs, QNAP ZFS) numa rede separada.

Consulte o nosso guia Proteção contra ransomware para empresas 2026 para todos os detalhes da arquitetura 3-2-1-1-0.

Regras ASR do Microsoft Defender

O Microsoft Defender for Endpoint inclui regras de Redução da Superfície de Ataque que bloqueiam comportamentos típicos pré-ransomware. Uma fundamental: Block credential stealing from LSASS cobre a exfiltração de credenciais, um pré-requisito comum ao movimento lateral.

Para o caso específico do VSS, a regra Block process creations originating from PSExec and WMI commands impede o ransomware de lançar vssadmin delete shadows via WMI ou PsExec – o vetor mais comum.

# Enable ASR rules in block mode (admin PowerShell)
Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Set-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules_Actions Enabled

Monitorização dos Event ID 524 e 8224

Centralize os registos do Windows num SIEM (Wazuh open source, Sentinel, Splunk) e dispare um alerta sobre os Event ID 524 e 8224. Resposta automatizada recomendada: isolar a máquina da rede por script se ocorrerem mais de 3 Event ID 524 em menos de 60 segundos.

VSS, Histórico de Ficheiros e Cópia de Segurança e Restauro: comparação

Três funcionalidades nativas do Windows usam o VSS como motor subjacente, mas servem necessidades diferentes.

Critério	VSS / Versões Anteriores	Histórico de Ficheiros (Win 10) / Histórico de Ficheiros (Win 11)	Cópia de Segurança do Windows / imagem de sistema
Destino de armazenamento	Mesmo volume (System Volume Information)	Disco externo / rede	Disco externo / rede / DVD
Granularidade	Ficheiro único	Ficheiro único	Volume inteiro ou sistema
Frequência	Em cada atualização / controlador / 24 h	Configurável (1 h, 6 h, diária)	Manual ou agendada
Espaço consumido	1 a 15 % do volume de origem	Crescimento contínuo	Tamanho da imagem
Recuperação se o disco morre	Impossível (ligado à origem)	Sim (a partir de suporte externo)	Sim (a partir de suporte externo)
Resiliência ao ransomware	Baixa (apagável via vssadmin delete)	Média (se o disco estiver desligado)	Alta (se o suporte estiver desligado)
Caso de uso	Anular uma alteração, recuperar um ficheiro eliminado há pouco	Versionar documentos pessoais	Restaurar um sistema completo após uma falha ou um ataque

A boa prática combina as três: o VSS para reversões rápidas (minutos), o Histórico de Ficheiros para versões de ficheiros pessoais (horas a dias) e uma imagem de sistema offline para o pior cenário.

Limitações conhecidas

Algumas armadilhas a ter em conta ao usar o VSS para recuperação:

Não portátil: as cópias de sombra residem na System Volume Information do volume de origem. Se o disco morre ou sofre uma corrupção grave, desaparecem. O VSS não substitui um backup externo.
Não cifrado: os instantâneos são armazenados em claro. Um atacante com privilégios de administrador local pode lê-los na íntegra – incluindo ficheiros que o utilizador julgava eliminados há muito.
Acessível com privilégios de administrador: qualquer administrador local pode listar e montar cópias de sombra. Numa estação de trabalho partilhada, isto pode expor dados sensíveis.
Versionamento não infinito: quando a área reservada está cheia, as cópias de sombra mais antigas são descartadas automaticamente (FIFO). Numa estação de trabalho muito usada, a retenção efetiva pode cair para alguns dias.
Ineficiente em SSD com TRIM: o TRIM agressivo reescreve rapidamente as áreas libertadas. As cópias de sombra eliminadas (por ransomware ou por expiração) tornam-se rapidamente irrecuperáveis.
Não compatível com ReFS nas edições cliente: o VSS só funciona em volumes NTFS nas SKU cliente. Os volumes ReFS (Storage Spaces, Workstation Pro) usam os seus próprios instantâneos independentes.

Para uma análise comparativa do software de recuperação capaz de tirar partido do VSS, consulte a nossa comparação EaseUS vs Recuva e o nosso guia do melhor software de recuperação de dados para uma análise completa das ferramentas por cenário – incluindo a recuperação de fragmentos VSS pós-ransomware.

Recursos