Abre o PC e vê a mensagem. «Os seus ficheiros foram cifrados.» As extensões dos seus documentos mudaram para algo irreconhecível — .locked, .crypt, .blackcat, não importa qual. O antivírus está silencioso ou desativado. Um endereço Bitcoin está no ecrã.
O instinto é entrar em pânico e depois descobrir como pagar. É exatamente com isso que os atacantes contam.
Eis a verdade: pagar primeiro quase nunca é a decisão certa. Há passos a dar antes disso — e alguns deles podem recuperar gratuitamente uma parte significativa dos seus dados. Este guia vai direto ao assunto.
NÃO PAGUE AINDA — eis porquê e o que fazer primeiro
Pagar o resgate não garante que vai recuperar os seus ficheiros. Algumas vítimas recebem uma ferramenta de decifragem defeituosa. Outras não recebem nada. E quem paga uma vez torna-se um alvo prioritário — os grupos criminosos partilham ativamente estas listas.
As autoridades — o FBI, a CISA, a Europol e o NCSC britânico — recomendam todas não pagar, pelo menos até ter:
- Verificado se existe um decifrador gratuito para a sua variante
- Avaliado o estado dos seus backups
- Tentado recuperar o que se pode recuperar
Isto não é otimismo. É método.
Passo 1 — Isole o computador (faça-o agora, antes de continuar a ler)
Antes de tudo o resto, se ainda não o fez:
- Desligue o cabo Ethernet
- Ative o modo de avião (ou desligue o Wi-Fi manualmente)
- Remova todos os discos externos, pens USB, cartões SD
- Se estiver numa rede partilhada (NAS, partilhas Windows): avise os outros utilizadores de imediato
O ransomware moderno — LockBit, BlackCat/ALPHV, Conti, Akira — cifra em cascata: primeiro os ficheiros locais, depois as partilhas de rede, depois os backups ligados. Cada segundo em que a máquina permanece online aumenta o dano.
Não reinicie. Não force o encerramento. A RAM pode conter a chave de cifragem, aproveitável por ferramentas forenses em casos raros mas reais. E um reinício num sistema ainda ativo pode desencadear uma segunda passagem de cifragem sobre os ficheiros criados desde a primeira execução.
Passo 2 — Identifique a variante (5 minutos, grátis)
Identificar o ransomware é o passo que a maioria das pessoas salta — e o que muda tudo.
Num dispositivo limpo (telemóvel, segundo PC), vá a id-ransomware.malwarehunterteam.com. Carregue:
- O ficheiro README ou HOW_TO_DECRYPT deixado pelos atacantes
- Um ficheiro cifrado (qualquer um)
A base de dados reconhece mais de 1.300 variantes em segundos. Identifica a família do ransomware e, crucialmente, diz-lhe se existe um decifrador oficial gratuito.
Depois verifique o nomoreransom.org — o portal oficial cogerido pela Europol, pela Polícia Nacional neerlandesa, pela Kaspersky e pela McAfee. Mais de 160 ferramentas de decifragem gratuitas cobrem cerca de 200 famílias. Variantes importantes como STOP/Djvu (chaves offline), GandCrab, Shade, Avaddon, algumas variantes de REvil e as chaves de Babuk divulgadas após apreensões de servidores são todas decifráveis gratuitamente.
Para um aprofundamento deste passo, o nosso guia completo de identificação com o ID Ransomware explica como ler os resultados e o que fazer em cada desfecho de variante.
Passo 3 — Recupere o que se pode recuperar
Se não existir um decifrador para a sua variante, há ainda assim opções concretas antes de considerar o pagamento ou aceitar a perda.
Versões anteriores e cópias de sombra do Windows
O Windows mantém instantâneos silenciosos chamados cópias de sombra de volume (VSS). O ransomware moderno tenta eliminá-los automaticamente com vssadmin delete shadows /all — mas este comando por vezes falha parcialmente, sobretudo em volumes secundários ou discos ligados recentemente.
Para verificar: clique com o botão direito numa pasta afetada > Propriedades > separador Versões anteriores. Se aparecerem versões, são anteriores à cifragem.
Originais não cifrados no espaço livre
Eis o mecanismo que a maioria das pessoas desconhece: o ransomware cifra tipicamente cada ficheiro criando uma cópia cifrada e depois apagando o original. Mas apagar num disco mecânico ou SSD não destrói os dados de imediato — apenas marca o espaço como disponível. Enquanto nada tiver sido escrito nessa localização, os originais são recuperáveis.
É exatamente aqui que o software de recuperação de dados ajuda de forma legítima. A nossa comparação de software de recuperação de dados cobre as ferramentas mais adequadas a cenários pós-ransomware — em particular as que têm modos de análise profunda capazes de alcançar os originais no espaço livre em volumes NTFS.
Ficheiros temporários de aplicações
O Office (Word, Excel) e o Photoshop criam ficheiros temporários durante a edição (.tmp, .psb, .asd). Estes são frequentemente ignorados pelo ransomware porque as suas extensões não correspondem aos alvos primários de cifragem. Uma análise profunda pode encontrá-los.
Como usar o EaseUS
Ligue o disco infetado apenas em leitura a um PC limpo (via USB, sem deixar o Windows montá-lo em modo leitura-escrita). Inicie o EaseUS Data Recovery Wizard, selecione o disco e execute uma análise profunda. A ferramenta procura originais apagados no espaço livre, cópias de sombra parciais e ficheiros temporários intactos.
Pré-visualize os resultados antes de comprar. Se os seus ficheiros críticos aparecerem na lista, a recuperação é viável. Se o disco sofreu escritas significativas desde o ataque (vários reinícios, novas instalações), as probabilidades diminuem.
Analisar o meu disco com o EaseUS Data Recovery Wizard
Backups na nuvem com versões
Se estava a usar o OneDrive, o Google Drive, o Backblaze ou o iDrive na altura do ataque, verifique o seu histórico de versões. Estes serviços costumam manter 30 a 365 dias de versões anteriores consoante o seu plano. Os ficheiros cifrados foram sincronizados, mas as versões anteriores não cifradas estão acessíveis através da interface web.
FAQ
Devo pagar o resgate?
Não — não como primeiro passo. O FBI, a CISA, a Europol e o NCSC desaconselham-no todos. Pagar não garante a recuperação — alguns dos que pagam ficam com uma ferramenta defeituosa ou sem nada. O pagamento financia ataques futuros e sinaliza-o como um pagador fiável. Trabalhe primeiro as opções de recuperação gratuitas acima.
Como previno o próximo ataque de ransomware?
A proteção eficaz resume-se a três pilares. Backups desligados e regulares segundo a regra 3-2-1 — um disco externo desligado após cada backup é imune a qualquer ransomware. Atualizações aplicadas rapidamente — muitos ataques de ransomware exploram vulnerabilidades para as quais já existia um patch. Cautela com os emails — os anexos Office com macros e os falsos links de «rastreio de encomendas» continuam a ser os vetores de entrada dominantes. O nosso guia da estratégia de backup 3-2-1 mostra-lhe como configurar isto de vez.
Os meus backups locais também estão cifrados. Está mesmo tudo perdido?
Não necessariamente. Verifique duas coisas: primeiro, os backups na nuvem com versões, se tinha um ativo (as versões anteriores à cifragem continuam acessíveis pela interface web). Segundo, as cópias de sombra do Windows como descrito acima. Se ambas estiverem indisponíveis e não existir um decifrador, uma recuperação parcial por software é ainda assim possível para os originais apagados antes de as cópias cifradas serem escritas.
Devo apresentar queixa à polícia?
Sim, sempre. Em Portugal: a Polícia Judiciária ou o Ministério Público. Nos EUA: IC3.gov (Internet Crime Complaint Center do FBI). No Reino Unido: actionfraud.police.uk. Estas queixas alimentam as investigações em curso e contribuíram diretamente para apreensões de servidores que mais tarde desbloquearam chaves de decifragem gratuitas — o Hive, o Ragnar Locker e várias variantes de Conti foram desmantelados desta forma.
Para uma análise completa dos decifradores disponíveis variante a variante, consulte o nosso guia completo para decifrar ransomware sem pagar.
Recuperar os meus ficheiros com o EaseUS
Back up now so ransomware can't win → EaseUS Todo Backup
Automatic backups · disk clone · offline copy
