Os desencriptadores gratuitos de ransomware funcionam mesmo?

Sim. O portal No More Ransom (parceria entre a Europol EC3 + Polícia Nacional Neerlandesa + Kaspersky + McAfee) cataloga mais de 160 ferramentas oficiais de desencriptação que abrangem cerca de 200 estirpes de ransomware. Desde 2016, o projeto já ajudou mais de 1,8 milhões de vítimas e evitou centenas de milhões de euros em pagamentos de resgate. A Emsisoft, a Avast, a Bitdefender e a Kaspersky publicam os seus desencriptadores gratuitamente sempre que é descoberta uma falha criptográfica ou que uma apreensão de servidor liberta chaves-mestras.

Qual é a taxa de sucesso ao tentar a desencriptação gratuita?

Depende inteiramente da estirpe. Para as famílias cobertas por um desencriptador oficial (STOP/Djvu offline ID, Crysis/Dharma, GandCrab, Shade, Avaddon, REvil antigo, chaves divulgadas de Babuk), a recuperação ultrapassa 90% dos ficheiros encriptados, desde que tenha a versão certa. Para as estirpes ativas não quebradas (LockBit 3.0, BlackCat/ALPHV, Akira, Royal, Conti recente), a taxa é zero — nenhuma ferramenta gratuita funciona em 2026.

O REvil, o Conti e o LockBit podem ser desencriptados?

Parcialmente e com condições. REvil/Sodinokibi: existe um desencriptador gratuito da Bitdefender (disponível através do No More Ransom) para ataques anteriores a julho de 2021. Conti: não há ferramenta pública, mas a fuga do código-fonte em 2022 tornou possível uma recuperação caso a caso em algumas situações. LockBit: a apreensão Operation Cronos da NCA em fevereiro de 2024 forneceu algumas chaves agora integradas no No More Ransom — mas o LockBit 3.0/Black moderno continua indecifrável sem a chave privada dos operadores.

Porque é que a CISA e o FBI desaconselham pagar?

O CNCS em Portugal, a CISA, o FBI e a Europol convergem neste ponto. Primeiro, o pagamento não garante nada: muitas vítimas que pagam não recebem qualquer chave, ou recebem um desencriptador defeituoso ou incompleto, e nunca recuperam tudo. Segundo, pagar financia o ecossistema criminoso e marca a vítima como rentável, pelo que uma parte significativa de quem paga volta a ser atacada. Terceiro, algumas transações ficam abrangidas pelas sanções OFAC norte-americanas se o grupo estiver listado.

Quanto tempo se deve esperar até ser lançado um desencriptador para a minha estirpe?

Varia. Alguns desencriptadores surgem poucas semanas após uma apreensão de servidor (LockBit, Hive 2023 via FBI). Outras estirpes permanecem indecifráveis durante anos ou até para sempre, se a criptografia estiver corretamente implementada. Regra pragmática: guarde os ficheiros encriptados num disco externo limpo. Consulte o No More Ransom a cada três a seis meses. Várias vítimas de 2018-2019 recuperaram os seus dados após 2 a 4 anos de espera.

O que fazer imediatamente após um ataque de ransomware?

Imediatamente: (1) isole a máquina infetada — desligue o Ethernet, desative o Wi-Fi, desligue os discos externos; (2) fotografe a nota de resgate e a extensão dos ficheiros encriptados; (3) num dispositivo limpo, carregue uma amostra em id-ransomware.malwarehunterteam.com para identificar a estirpe; (4) consulte nomoreransom.org para um desencriptador gratuito; (5) NÃO pague — muitas vítimas que pagam nunca recuperam todos os seus ficheiros.

Desencriptar ransomware sem pagar: guia completo 2026

Um ransomware acabou de encriptar os seus ficheiros e a nota exige bitcoin. Antes de qualquer decisão, saiba que pagar não é a única opção nem a mais fiável. Para cerca de uma família de ransomware em três, existe um desencriptador oficial gratuito — publicado por autoridades policiais, fabricantes de antivírus ou investigadores independentes. Este guia percorre todo o procedimento para identificar a sua estirpe, verificar se existe uma chave disponível e tentar a recuperação sem pagar um cêntimo.

O conteúdo baseia-se em recursos públicos da Europol, do projeto No More Ransom, do MalwareHunterTeam, nas recomendações da CISA / FBI / CNCS e no catálogo de desencriptadores da Emsisoft — a espinha dorsal da resposta ao ransomware em 2026.

Como desencriptar ficheiros de ransomware sem pagar o resgate

Para desencriptar ransomware sem pagar: (1) identifique a estirpe através do ID Ransomware (id-ransomware.malwarehunterteam.com — abrange mais de 1.300 famílias); (2) consulte o portal No More Ransom (nomoreransom.org — 160+ desencriptadores oficiais gratuitos para cerca de 200 famílias, incluindo STOP/Djvu, GandCrab, Crysis/Dharma, Babuk); (3) descarregue apenas das páginas oficiais dos fabricantes (Emsisoft, Avast, Bitdefender, Kaspersky); (4) teste primeiro numa cópia, nunca nos originais. Para estirpes não quebradas (LockBit 3.0, BlackCat), a única via é um backup anterior ao ataque ou a recuperação através de cópias-sombra.

Como funciona a encriptação do ransomware moderno

Compreender a criptografia esclarece porque é que alguns ransomware são desencriptáveis e outras estirpes não.

Encriptação híbrida AES + RSA

O ransomware atual (LockBit, BlackCat, Akira, Royal, Play) usa um esquema híbrido:

Uma chave simétrica AES-256 (por vezes ChaCha20 ou Salsa20) é gerada aleatoriamente por ficheiro ou por lote de ficheiros.
Esta chave AES encripta o conteúdo real do ficheiro — rapidamente, vários gigabytes por minuto.
A própria chave AES é encriptada com uma chave pública RSA-2048 (ou curvas elípticas Curve25519) incorporada no malware.
A correspondente chave privada RSA permanece no servidor do atacante: sem ela, as chaves AES não podem ser recuperadas e a desencriptação é matematicamente impossível.

Este design torna a desencriptação por força bruta inviável em 2026: quebrar o RSA-2048 exige recursos para além das principais clouds públicas. Um ataque quântico ao estilo de Shor exigiria um computador quântico tolerante a falhas com cerca de 20 milhões de qubits físicos, fora de alcance antes de 2035, no melhor dos cenários.

Porque é que algumas estirpes são desencriptáveis mesmo assim

Os desencriptadores gratuitos não se baseiam na força bruta, mas em erros de implementação, fugas de chaves ou apreensões de servidor:

Implementação criptográfica falhada: gerador pseudoaleatório previsível (caso STOP/Djvu offline ID, em que a mesma chave é reutilizada quando a infeção ocorre sem contacto C2), reutilização de nonce, modo de cifra vulnerável.
Fuga da chave-mestra: publicação do código-fonte, infiltração das autoridades policiais, deserção de um afiliado. Ver Babuk (junho de 2021), Conti (março de 2022), LockBit (Operation Cronos 2024).
Apreensão do servidor C2: operações Europol/FBI que recuperam a base de dados das chaves privadas. Ver GandCrab (2019), REvil parcial (2021), Hive (janeiro de 2023), LockBit (fevereiro de 2024).
Erro de conceção: a chave é armazenada localmente num ficheiro de registo, no registo do sistema, ou transmitida em texto simples. Várias famílias de baixo custo cometeram estes erros.

Para as estirpes de topo implementadas corretamente (LockBit 3.0/Black, BlackCat/ALPHV, Akira pós-2024), nenhuma destas falhas foi encontrada publicamente. Permanecem indecifráveis sem a chave privada dos operadores.

O projeto No More Ransom: um pilar indispensável

Lançado em julho de 2016 pela Europol EC3 (European Cybercrime Centre), pela Polícia Nacional Neerlandesa, pela Kaspersky e pela McAfee, o portal nomoreransom.org tornou-se em dez anos a referência mundial para a desencriptação gratuita.

Números-chave de 2026

Mais de 160 ferramentas oficiais de desencriptação disponíveis para descarregar.
Cobertura de cerca de 200 famílias de ransomware e subfamílias.
Mais de 1,8 milhões de vítimas ajudadas desde 2016 (relatório anual Europol 2025).
188 parceiros em todo o mundo: autoridades policiais, CERT, fabricantes de antivírus, universidades.
Disponível em 37 idiomas, incluindo inglês, francês, espanhol, alemão, japonês.

O serviço Crypto Sheriff

No centro do portal, o Crypto Sheriff identifica automaticamente a estirpe a partir de dois ficheiros encriptados (com menos de 1 MB cada) e da nota de resgate ou de uma URL nela contida. A ferramenta compara extensões, estruturas de ficheiros, padrões de cabeçalho e endereços de pagamento com uma base de dados interna. Quando encontra uma correspondência, reencaminha para o desencriptador correspondente e as suas instruções.

Se não existir nenhuma ferramenta para a estirpe, o serviço di-lo claramente e sugere voltar a verificar mais tarde — a base de dados é atualizada semanalmente.

Limites a ter em conta

O portal não desencripta online. Disponibiliza ferramentas descarregáveis para executar localmente. Nenhum ficheiro sensível é carregado para os seus servidores além do necessário à identificação. Os desencriptadores são assinados pelos fabricantes parceiros: Avast, Bitdefender, Emsisoft, Kaspersky, Trend Micro, Tesorion, AVG.

ID Ransomware: a outra peça da identificação

O serviço id-ransomware.malwarehunterteam.com, mantido desde 2016 por Michael Gillespie (com o apoio do MalwareHunterTeam), cobre uma base mais ampla: mais de 1.300 famílias e variantes em 2026, mais do que o No More Ransom (que se foca nos desencriptadores disponíveis).

Como usá-lo

Na página inicial:

Carregue um ficheiro encriptado (tamanho máximo 100 MB, mas 1-10 MB chegam perfeitamente).
E/ou carregue a nota de resgate (TXT, HTML, HTA).
E/ou cole um endereço de email ou uma URL Tor mencionada na nota.

O serviço compara o cabeçalho do ficheiro, a extensão, o conteúdo da nota e os indicadores de rede com a base de dados. Devolve:

O nome canónico da família (ex.: Phobos, STOP/Djvu, MedusaLocker).
A variante exata, se identificável.
Uma ligação direta para os recursos de recuperação existentes.
Uma indicação «DECRYPTABLE» ou «NO DECRYPTOR AVAILABLE».

Para maior precisão nas variantes, veja o nosso guia sobre a identificação de ransomware com o ID Ransomware, que detalha as armadilhas dos falsos positivos e os traços distintivos entre Phobos, Dharma e Crysis.

Famílias desencriptáveis gratuitamente em 2026

A tabela abaixo resume as principais estirpes com uma ferramenta oficial, o fabricante e a taxa de sucesso observada.

Família	Extensão típica	Desencriptador	Fabricante	Taxa de sucesso
STOP/Djvu (offline ID)	.djvu, .stop, .promorad	STOPDecrypter	Emsisoft	70-90% (apenas offline ID)
Crysis / Dharma	.crysis, .dharma, .wallet	Crysis Decryptor	Avast / Kaspersky	95%
GandCrab v1-v5.2	.gdcb, .crab, .krab	GandCrab Decryptor	Bitdefender	99%
Shade / Troldesh	.crypted, .breaking_bad	Shade Decryptor	Kaspersky	95%
Avaddon	.avdn	Avaddon Decryptor	Bitdefender	99%
REvil antes de julho de 2021	.revil, .sodinokibi	REvil Universal Decryptor	Bitdefender	90% (chaves de tempo limitado)
Babuk (chaves divulgadas)	.babuk, .babyk	Babuk Decryptor	Avast	99%
LockBit (apreensão Cronos)	.lockbit	LockBit Decryptor	NCA / FBI / Europol	Parcial, depende da variante
Conti (fuga do código)	.conti	Conti Decryptor (limitado)	Vários investigadores	Caso a caso
Hive	.hive	Hive Decryptor	FBI / Europol	Parcial (apreensão 2023)
AES_NI, Jaff, Crysis	várias	Ferramentas dedicadas	Kaspersky	90%+
TeslaCrypt	.vvv, .ecc, .ezz, .exx	TeslaDecoder	BloodDolly	100% (chave-mestra divulgada)
WannaCry	.wncry, .wcry	wanakiwi / wannakey	Adrien Guinet / Benjamin Delpy	Depende da RAM preservada

Em destaque: STOP/Djvu, a estirpe dos particulares

O STOP/Djvu continua a ser, em 2025-2026, a família mais ativa contra utilizadores domésticos (relatórios da Emsisoft e do MalwareHunterTeam). Propaga-se através de cracks de software, keygens e instaladores trojanizados descarregados de sites warez.

Dois modos de encriptação:

Offline ID: sem ligação ao servidor C2 durante a infeção. A mesma chave é reutilizada para todas as vítimas da mesma build. A Emsisoft detém essa base de dados e consegue desencriptar 70-90% dos casos offline.
Online ID: ligação C2 bem-sucedida, chave única por vítima. Indecifrável sem a chave privada dos atacantes.

O Emsisoft STOPDecrypter reporta automaticamente o tipo de ID depois de carregar o ficheiro de referência personal.txt que o malware deposita no disco.

Famílias indecifráveis em 2026

Pelo contrário, várias estirpes ativas não têm qualquer desencriptador público. Não perca tempo a procurar: preserve os ficheiros encriptados e passe para a recuperação através de backup ou cópias-sombra.

LockBit 3.0 / Black (pós-2022, fora das chaves derivadas da Cronos) — criptografia correta, RaaS dominante.
BlackCat / ALPHV — escrito em Rust, multi-OS, operado até meados de 2024 e depois disperso. Nenhuma apreensão utilizável publicamente.
Akira — ativo desde 2023, visa PME e hospitais, sem falha publicada.
Royal / BlackSuit — sucessor do Conti, criptografia híbrida sólida.
Play (PlayCrypt) — ativo desde 2022.
Medusa, MedusaLocker — ativos, distintos um do outro.
8Base — ativo desde 2022.
Cactus, Rhysida — recentes, publicamente indecifráveis.

Para estas famílias, a única via de recuperação viável são backups limpos, cópias-sombra não destruídas ou ficheiros residuais não encriptados. Veja o nosso guia pilar de recuperação de ficheiros após ransomware para a metodologia completa.

Passo a passo: testar um desencriptador oficial

Eis a sequência recomendada depois de a estirpe estar identificada e um desencriptador ser encontrado.

1. Preparar um ambiente de teste

Trabalhe sobre uma cópia de um ficheiro encriptado, nunca sobre o original. Um erro do desencriptador pode sobrescrever o ficheiro de forma irreversível.
Crie uma pasta isolada num disco externo limpo e copie 5-10 ficheiros encriptados de formatos diferentes (DOCX, JPG, PDF, MP4, ZIP).
Coloque temporariamente em pausa a sincronização na cloud para evitar propagar ficheiros desencriptados parcialmente corrompidos.

2. Verificar a autenticidade do desencriptador

Descarregue apenas das páginas oficiais:

Emsisoft: decrypter.emsisoft.com
Avast: avast.com/ransomware-decryption-tools
Bitdefender: bitdefender.com/blog/labs/
Kaspersky: noransom.kaspersky.com
No More Ransom: nomoreransom.org/pt/decryption-tools.html

Verifique a assinatura digital do executável (clique direito → Propriedades → Assinaturas Digitais) e o hash SHA-256 se estiver publicado. Vários falsos desencriptadores Bitdefender e Avast circulam em fóruns clandestinos com um payload secundário.

3. Confirmar a estirpe com uma análise antivírus

Antes de executar o desencriptador, analise a máquina com um AV atualizado (ESET, Malwarebytes, Bitdefender free) em modo offline através de uma pen USB de emergência. Confirme a família detetada. Se a análise revelar uma estirpe diferente da identificada pelo ID Ransomware, não execute o desencriptador — pode danificar os ficheiros.

4. Executar na cópia

Inicie a ferramenta, aponte-a para a pasta de teste e forneça os pares de ficheiros exigidos (um ficheiro encriptado e uma versão original não encriptada do mesmo ficheiro, para as ferramentas que o pedem — normalmente a Avast).

Ative sempre:

A opção conservar os ficheiros encriptados (caso a desencriptação os corrompa).
O modo de teste ou dry run se estiver disponível.

5. Verificar os ficheiros desencriptados

Abra cada ficheiro na sua aplicação nativa:

DOCX / XLSX: o Word/Excel tem de o abrir sem janela de reparação.
JPG / PNG: visualizador de fotos, verifique o aspeto visual completo.
PDF: Acrobat ou navegador, paginação intacta.
ZIP / 7z: teste de integridade através da verificação integrada do arquivador.

Compare os tamanhos dos ficheiros desencriptados com os esperados (se tiver duplicados na cloud). Uma diferença de alguns bytes é normal (a encriptação remove/acrescenta padding e um cabeçalho marcador), mas uma discrepância significativa sinaliza um problema.

6. Iniciar a desencriptação completa

Depois de validado o procedimento nos 5-10 ficheiros de teste, selecione os volumes completos e execute. Conte com várias horas para algumas centenas de gigabytes. Monitorize os registos: alguns ficheiros podem ser assinalados como parcialmente corrompidos (muitas vezes porque o ransomware foi interrompido durante a encriptação e deixou ficheiros processados a meio).

Alternativas quando não existe nenhum desencriptador

Se a estirpe estiver na lista das indecifráveis, não perca tempo. Vias de recuperação restantes:

Restaurar a partir do backup

É a via mais fiável, desde que tenha um backup anterior ao ataque, desligado no momento da encriptação. O ransomware moderno visa ativamente os discos de backup ligados e as partilhas de rede. Veja as boas práticas 3-2-1-1-0 no nosso guia de recuperação.

Cópias-sombra do Windows

O Windows cria em segundo plano as Volume Shadow Copies (VSS). O ransomware tenta apagá-las através de vssadmin delete shadows /all, mas muitas vezes ignora certos volumes ou falha por problemas de privilégios. O nosso guia Cópias-sombra do Windows e recuperação detalha o ShadowExplorer, o vssadmin e o separador «Versões anteriores» para a recuperação mesmo quando o VSS parece vazio.

File carving

Ferramentas de recuperação como o PhotoRec (gratuito), o R-Studio ou o EaseUS Data Recovery Wizard analisam o espaço livre do disco à procura de assinaturas de ficheiros. Quando o ransomware encripta um ficheiro, escreve a versão encriptada e depois apaga o original — o original é muitas vezes recuperável enquanto os blocos não forem sobrescritos.

Execute a análise imediatamente após isolar a máquina para maximizar as hipóteses. Quanto mais tempo o disco funcionar após o ataque, mais blocos livres são sobrescritos.

Ficheiros residuais não encriptados

Várias categorias de ficheiros escapam frequentemente à encriptação e contêm dados utilizáveis:

Ficheiros .tmp do Office em %APPDATA%\Microsoft\Word\ e equivalentes para Excel/PowerPoint — versões guardadas automaticamente.
Miniaturas do Windows em thumbcache_*.db — visualizáveis com o ThumbCache Viewer para pré-visualizações de fotos.
Histórico do navegador: caches do Chrome/Firefox/Edge para imagens vistas recentemente.
Ficheiros do OneDrive não sincronizados ainda na cache local, ainda não encriptados consoante o momento.

Para avaliar rapidamente as suas hipóteses de recuperação consoante o seu cenário (estirpe, backups disponíveis, tipo de suporte), use o nosso diagnóstico gratuito.

Porque NÃO deve pagar o resgate

Para além do argumento ético, várias razões técnicas e legais sustentam a posição oficial da CISA / FBI / Europol / CNCS.

O pagamento não garante a recuperação

Pagar o resgate não garante nada:

Algumas vítimas que pagam não recebem qualquer chave após o pagamento.
Outras recebem um desencriptador defeituoso ou incompleto (chave inválida em alguns ficheiros, falhas da ferramenta, desempenho inaceitável).
Muitas recuperam os seus ficheiros mas com perdas parciais (alguns ficheiros permanecem irrecuperáveis).
Uma fatia significativa das vítimas que pagam nunca recupera a totalidade dos seus dados.

Comparado com uma recuperação que pode verificar você mesmo quando existe um desencriptador oficial, a relação risco/benefício do pagamento é desfavorável.

O pagamento financia e incentiva o ecossistema

As receitas globais do ransomware têm vindo a diminuir à medida que mais vítimas recusam pagar — mas cada pagamento continua a reforçar o modelo de negócio criminoso. Pagar marca-o ainda como um alvo rentável e convida à reinfeção: uma fatia significativa de quem paga é atacada de novo em poucos meses.

Risco legal — sanções OFAC

Nos EUA, o OFAC (Office of Foreign Assets Control) proíbe qualquer transação com entidades sancionadas. Vários grupos de ransomware estão listados: Evil Corp (sanções 2019), operadores Conti / Trickbot (2023), operadores individuais do LockBit (2024). Pagar um ransomware ligado a estes grupos é uma violação que expõe a entidade pagadora ou o facilitador (incluindo empresas de negociação) a processos cíveis e penais.

A UE e o Reino Unido estão a convergir para regras semelhantes. Em Portugal, o pagamento pode ainda ter relevância penal e de segurança nacional consoante os casos, sobretudo quando o grupo está ligado a um Estado hostil (caso de vários grupos norte-coreanos e russos).

Posição oficial da CISA / FBI

O FBI transmite a mesma mensagem desde 2016 através dos seus avisos IC3. A CISA (Cybersecurity and Infrastructure Security Agency) coordena o StopRansomware.gov, que centraliza alertas e desencriptadores nos Estados Unidos. O NCSC britânico publica orientações quase idênticas, tal como o ACSC australiano. Em Portugal, o CNCS (Centro Nacional de Cibersegurança) divulga orientações alinhadas.

Pontos de referência-chave a recordar

Algumas conclusões qualitativas enquadram o panorama do ransomware em 2025-2026:

Os recursos de desencriptação gratuita cobrem um amplo catálogo de famílias — o No More Ransom lista mais de 160 desencriptadores oficiais para cerca de 200 famílias, e o ID Ransomware indexa mais de 1.300 famílias e variantes.
A proporção de vítimas que pagam caiu acentuadamente ao longo dos anos, à medida que mais organizações recorrem a backups limpos e desencriptadores gratuitos.
As receitas globais do ransomware diminuíram nos últimos anos, sinal de que recusar pagar — quando existe um backup ou desencriptador — é cada vez mais a norma.

Para antecipar os ataques em vez de os sofrer, um antivírus moderno com módulo anti-ransomware (rollback automático, deteção comportamental) reduz drasticamente o risco. O nosso comparativo do melhor software anti-ransomware 2026 aborda a Bitdefender, a Norton, a Kaspersky, a Malwarebytes e a Acronis com as suas pontuações de bloqueio nos testes independentes da AV-Test e da AV-Comparatives.

Resumo: o seu percurso de decisão

Isole a máquina, fotografe a nota de resgate, registe a extensão.
Identifique a estirpe através do ID Ransomware (id-ransomware.malwarehunterteam.com).
Verifique a existência de um desencriptador no No More Ransom (nomoreransom.org).
Se existir um desencriptador: descarregue-o da fonte oficial, teste-o numa cópia e depois execute-o.
Se não existir nenhum desencriptador: restaure a partir de um backup limpo, ou tente as cópias-sombra e o file carving nos ficheiros residuais. O nosso guia de software de recuperação de dados lista as ferramentas mais adequadas para extrair os originais do espaço livre NTFS após a encriptação.
Preserve os ficheiros encriptados num disco externo: um desencriptador pode surgir meses ou anos depois.
Não pague: alto risco de recuperação incompleta, financiamento da criminalidade, exposição à OFAC e uma probabilidade real de ser atacado de novo.
Apresente queixa às autoridades (IC3 nos EUA, NCSC/Action Fraud no Reino Unido, PJ/Ministério Público em Portugal) e notifique a sua autoridade de proteção de dados se estiverem envolvidos dados pessoais de terceiros.

A desencriptação gratuita funciona mesmo para centenas de milhares de vítimas todos os anos. O reflexo deve ser sempre: identificação, verificação no No More Ransom, teste numa cópia e só então decidir sobre as alternativas.

Escolha editorial

4.5 / 5

Back up now so ransomware can't win → EaseUS Todo Backup

Automatic backups · disk clone · offline copy

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB

Ver a oferta