Uma nova campanha de ransomware faz-se passar pela Interpol para pressionar pequenas empresas a infetarem-se a si próprias. Os investigadores da Bitdefender, cujos relatos foram ecoados por meios como SC Media, Infosecurity e Hackread, descrevem e-mails que se fazem passar por uma "Interpol Cybercrime Investigation Unit" oficial e alegam que é necessária uma resposta urgente para colaborar numa investigação a problemas de conformidade ou segurança. O engodo é a autoridade e o medo. A realidade é uma tentativa desajeitada de enganar o destinatário para que execute malware.
Há uma reviravolta invulgar que muda toda a resposta a dar. Quem está por trás desta campanha construiu o seu ransomware tão mal que a ferramenta necessária para reverter a cifragem, e a chave que usa, viajam dentro do próprio malware. Esse único erro volta a colocar em cima da mesa a recuperação sem pagar.
Como é a campanha da falsa Interpol
A mensagem chega como um e-mail disfarçado de aviso oficial. Usa o nome Interpol e o rótulo inventado de uma "Cybercrime Investigation Unit", e insiste na urgência: a cooperação do destinatário seria supostamente necessária para uma investigação em curso sobre uma questão de conformidade ou segurança. Essa encenação procura curto-circuitar o discernimento. Um funcionário assustado que acredita estar a ser vigiado por um organismo policial internacional é mais propenso a clicar primeiro e a pensar depois.
O e-mail não transporta a carga diretamente. Em vez disso aponta para uma ligação do Proton Drive onde está alojado um arquivo protegido por palavra-passe, e fornece prestativamente a palavra-passe no corpo da mensagem. Os arquivos protegidos por palavra-passe são um truque de evasão comum: muitos scanners de e-mail e de endpoint não conseguem inspecionar o conteúdo de um arquivo cifrado, pelo que o ficheiro malicioso passa pelos filtros que de outro modo o marcariam.
Como funciona a cadeia de infeção
Assim que a vítima descarrega o arquivo e introduz a palavra-passe fornecida, não encontra um documento. Encontra mais arquivos aninhados lá dentro. Camada após camada, o empacotamento mantém a carga real enterrada, o que dificulta ainda mais a análise automatizada e faz o objeto parecer um inofensivo conjunto de ficheiros.
No fundo do aninhamento está o ransomware, disfarçado de ficheiro de vídeo. A engenharia social mantém-se coerente até ao fim: um destinatário a quem disseram que isto diz respeito a uma investigação espera examinar provas, por isso um "vídeo" parece plausível. Quando a vítima tenta reproduzir esse vídeo, o executável arranca. Em vez de imagens, começa a cifrar os ficheiros nas unidades disponíveis e deixa uma nota de resgate a exigir pagamento.
A cadeia é deliberadamente estratificada mas não sofisticada. Cada passo, a falsa autoridade, o alojamento de ficheiros fora da plataforma, a palavra-passe fornecida, os arquivos aninhados, o disfarce de vídeo, é um truque já conhecido. O que torna a campanha notável não é a sua inteligência, mas a seleção de alvos e um erro de implementação que se vira contra os atacantes.
A falha decisiva: a chave de desencriptação está dentro do malware
Eis o detalhe que mais importa a qualquer vítima. Segundo os investigadores que analisaram as amostras, este ransomware transporta tanto a sua função de desencriptação como a chave necessária dentro do próprio malware. Numa estirpe bem construída, a chave que desbloquearia os teus ficheiros é gerada na infraestrutura do atacante e nunca toca na tua máquina, e é precisamente por isso que pagar pode parecer a única opção. Esta campanha faz o contrário.
Como a lógica de desencriptação e a chave estão presentes localmente, é tecnicamente possível recuperar os ficheiros cifrados sem negociar com os atacantes nem pagar-lhes. É um defeito grave no design dos atacantes. Também significa que fabricantes como a Bitdefender estão bem posicionados para publicar um desencriptador gratuito construído a partir desse material embutido, e que parceiros de antivírus e policiais o podem adicionar ao catálogo público de ferramentas gratuitas.
Para ser claro quanto aos limites: extrair uma chave embutida em segurança é trabalho de analistas de malware, não algo a improvisar a partir de um artigo de blogue. Não tentes desmontar a amostra por ti próprio. A conclusão prática é mais simples e igualmente importante: não pagues, porque a cifragem usada aqui não é do tipo inquebrável em que assenta um ransomware implementado corretamente.
Quem está a ser visado
A campanha aponta às pequenas e médias empresas mais do que aos consumidores, e chega a várias regiões. Os investigadores observaram alvos nos Estados Unidos, na Europa, na Ásia e no Médio Oriente, abrangendo um vasto conjunto de setores, incluindo tecnologia, finanças, serviços jurídicos, agroalimentar, farmacêutica e media. Essa dispersão sugere uma distribuição oportunista em vez de uma lista de vítimas escolhida a dedo.
As pequenas empresas são um alvo apetecível por uma razão. Muitas vezes não têm uma equipa de segurança dedicada, o pessoal pode estar menos treinado contra a personificação, e o choque de um aparente aviso da Interpol pode derrubar a cautela habitual. Os atacantes apostam nessa falha. Uma equipa bem informada, pelo contrário, deteta a fraude logo na primeira linha: uma polícia verdadeira não envia "provas" de uma investigação como arquivo protegido por palavra-passe a partir de uma nuvem de consumo.
O que fazer se receberes um destes e-mails
Se uma mensagem destas chegar à tua caixa, trata-a como hostil e não interajas com a carga:
- Não descarregues o arquivo e não abras nenhum ficheiro no seu interior. O ransomware dispara ao abrir o falso vídeo, por isso o mais seguro é nunca chegar a esse passo.
- Não respondas e não uses nenhum contacto presente no e-mail. A marca Interpol é falsa, e qualquer "unit" nomeada na mensagem é uma invenção.
- Isola qualquer máquina que já tenha descarregado ou aberto o ficheiro: desliga o cabo de rede, desativa o Wi-Fi e desconecta as unidades externas para limitar a propagação.
- Reporta-o à tua equipa de TI ou segurança e à tua autoridade nacional de cibercrime. Se precisares de verificar um pedido policial genuíno, contacta o organismo pelos seus canais públicos oficiais, nunca através do e-mail.
O que fazer se os teus ficheiros já estão cifrados
Se a carga já foi executada e os teus ficheiros estão bloqueados, a resposta segue o protocolo padrão do ransomware, com um fator animador: o design defeituoso desta estirpe torna realista uma recuperação gratuita. Avança com calma, passo a passo.
Começa por isolar a máquina e fotografar a nota de resgate e a extensão dos ficheiros cifrados. Depois identifica a estirpe com precisão: o nosso guia de identificação com o ID Ransomware explica como carregar uma amostra e a nota para determinar exatamente o que te atingiu. Uma identificação correta é o que permite encontrar ou construir um desencriptador adequado.
A seguir, consulta as ferramentas gratuitas oficiais. Como a chave está embutida, um desencriptador para esta família é viável, por isso consulta o portal No More Ransom e a página de ferramentas gratuitas da Bitdefender. O nosso guia pilar sobre como desencriptar ransomware sem pagar explica como encontrar, verificar e testar em segurança um desencriptador oficial numa cópia antes de o executar em larga escala. Se ainda não existir uma ferramenta para a tua amostra exata, guarda os ficheiros cifrados num disco externo limpo e volta a verificar, porque as ferramentas para estirpes defeituosas costumam surgir.
Se tiveres uma cópia de segurança limpa e desligada anterior ao ataque, restaurá-la é o caminho fiável mais rápido. Seja qual for o caminho, não pagues o resgate: o pagamento financia a operação, marca-te como alvo fácil e é desnecessário quando a própria cifragem é reversível. Para a resposta completa passo a passo e as opções de recuperação, consulta os nossos guias sobre o que fazer quando os teus ficheiros estão cifrados por ransomware e como recuperar ficheiros após ransomware.
Como uma pequena empresa se pode blindar
Esta campanha triunfa através das pessoas, não de brilhantismo técnico, por isso as defesas mais fortes são organizacionais. Forma o pessoal para desconfiar de qualquer mensagem não solicitada que diga ser da polícia e peça para descarregar um ficheiro protegido por palavra-passe, e torna normal parar para verificar em vez de reagir à urgência. Bloqueia, sempre que possível, os tipos de anexo de risco e os arquivos protegidos por palavra-passe no gateway de e-mail, pois é exatamente a evasão em que esta campanha assenta.
Mantém cópias de segurança offline ou imutáveis para que mesmo uma cifragem bem-sucedida seja um incómodo e não uma crise, e testa que consegues realmente restaurar a partir delas. Por fim, estabelece uma regra simples: todo o contacto real de uma agência policial é verificado pelos canais nacionais oficiais, nunca por uma ligação, um anexo ou um número de telefone fornecidos num e-mail inesperado. Esses hábitos neutralizam o medo que esta falsa campanha da Interpol foi concebida para explorar.
Guias relacionados
- Desencriptar ransomware sem pagar: guia completo 2026
- Ficheiros cifrados por ransomware: o que fazer agora
- Recuperar ficheiros após ransomware
Faz cópia agora para travar o ransomware → EaseUS Todo Backup
Backups automáticos · clone de disco · cópia offline
