O ID Ransomware é seguro e fiável?

Sim. O serviço é operado pelo MalwareHunterTeam desde 2016 (Michael Gillespie, investigador de referência em decryptors). É citado pela Europol, pelo FBI e pela maioria dos CERT nacionais como a primeira ferramenta de identificação. A base de dados cobre mais de 1300 famílias e já processou mais de 1,5 milhões de submissões. Os componentes do lado do servidor não são de código aberto, mas o historial da equipa e a ausência de incidentes de fuga de dados tornam-no a referência consensual.

Os dados carregados são confidenciais?

Uma amostra de ficheiro cifrado é criptograficamente inutilizável sem a chave do atacante — não pode revelar o conteúdo original. A nota de resgate, porém, contém muitas vezes um identificador único da vítima (UID/TID, por vezes um endereço Bitcoin pessoal ou um portal Tor). Oculte ou trunque estes identificadores antes do carregamento, sobretudo se pretender negociar ou contratar um negociador profissional. O ID Ransomware não exige conta, retém as submissões para enriquecer a base de dados de investigação, mas não publica o conteúdo.

E se o ID Ransomware não reconhecer a variante?

Três pistas complementares. Primeiro, a base de dados de identificação de ransomware do BleepingComputer (fórum comunitário com analistas voluntários, muitas vezes mais reativo nas variantes emergentes). Depois, o Crypto Sheriff do No More Ransom, lógica semelhante mas base de dados diferente. Por fim, o Emsisoft Ransomware Identification, integrado na sua ferramenta de decifragem. Se nenhum a reconhecer, é provavelmente uma variante muito recente ou um ransomware direcionado — contacte um CSIRT nacional (CISA nos EUA, CERT.PT em Portugal, NCSC no Reino Unido).

A identificação baseada na extensão do ficheiro é fiável?

Não por si só. Várias famílias partilham extensões genéricas (.locked, .encrypted, .crypto, .crypt) — pelo menos uma dúzia de ransomwares usa .locked. Por isso o ID Ransomware cruza extensão, estrutura binária do ficheiro cifrado (cabeçalho, marcador, rodapé) e hash da nota de resgate. A identificação baseada em triangulação é fiável acima dos 95% nas famílias conhecidas.

Existem riscos de falsos positivos?

Sim, sobretudo com novas variantes baseadas em código-fonte divulgado (Conti, LockBit Black, Babuk). Uma variante pode ser identificada como a família-mãe apesar de usar uma chave independente — o decryptor da família-mãe não funcionará. Teste sempre num ficheiro de amostra antes de aplicar um decryptor a todo o parque de máquinas, e nunca elimine os originais enquanto a recuperação não estiver confirmada.

Identificar um ransomware com o ID Ransomware: guia 2026

Antes de tentar seja o que for (pagamento, decifragem, restauro parcial), uma pergunta importa acima de tudo: qual o ransomware exato que o atingiu? A resposta determina tudo — disponibilidade de um decryptor, comportamento esperado, tempo de permanência, risco de dupla extorsão, estatuto legal do grupo. O ID Ransomware, operado pelo MalwareHunterTeam desde 2016, é a ferramenta de referência para responder a esta pergunta em minutos.

Este guia descreve o procedimento exato, o que precisa de saber antes de carregar e como agir sobre o resultado, consoante a variante seja conhecida ou emergente.

Por que a identificação precisa muda tudo

Muitos utilizadores afetados por ransomware tratam o incidente como se fosse uma única categoria de evento e aplicam uma resposta genérica que toda a gente lê (não pagar, restaurar a partir de backup, apresentar queixa). Está parcialmente correto, mas ignorar a identificação específica da variante faz perder oportunidades reais de recuperação em cerca de 30% dos casos.

A identificação precisa muda a estratégia em três eixos críticos. Primeiro eixo: disponibilidade de um decryptor gratuito. O projeto No More Ransom, mantido pela Europol, pela Polícia neerlandesa, pela Kaspersky e pela McAfee, publica regularmente ferramentas de decifragem quando os investigadores conseguem quebrar o esquema criptográfico de uma família de ransomware. No primeiro trimestre de 2026, cerca de 140 famílias distintas têm pelo menos uma ferramenta publicada. Se a sua variante for uma destas 140, pode literalmente decifrar os seus ficheiros de forma gratuita em horas. Mas se não identificar a variante, não sabe que tal ferramenta existe.

Segundo eixo: risco de dupla extorsão. Os grupos de ransomware não são equivalentes na capacidade de exfiltração. Os operadores de "topo de gama" (LockBit 3.0, BlackCat/ALPHV, Royal, Akira, Black Basta) realizam sistematicamente uma exfiltração significativa antes da cifragem e publicam dados nos seus sites de fuga se não forem pagos. Os operadores de "cibercrime clássico" (Stop/Djvu, herdeiros do GandCrab, algumas variantes Phobos) geralmente não exfiltram e o risco limita-se à cifragem local. A estratégia de notificação (autoridades de controlo, clientes, fornecedores) e a pressão sobre o cálculo do resgate dependem diretamente desta distinção.

Terceiro eixo: estatuto legal e sanções OFAC. Vários grupos de ransomware são designados pelo OFAC dos EUA como entidades sancionadas (LockBit em fevereiro de 2024, Conti em 2022, Black Basta parcialmente). Pagar um resgate a um grupo sob sanções OFAC é ilegal para qualquer pessoa ou empresa norte-americana, e constitui um risco legal significativo mesmo para empresas europeias com operações nos EUA. Identificar com precisão o grupo permite-lhe saber se o pagamento é legalmente possível antes mesmo de ponderar a sua ética.

ID Ransomware: o que o serviço faz realmente

O ID Ransomware é um projeto mantido por Michael Gillespie (também conhecido como Demonslay335), investigador central da comunidade de ransomware desde meados da década de 2010. O serviço é gratuito, não requer conta e aceita dois tipos de entrada: uma amostra de ficheiro cifrado e a nota de resgate deixada pelos atacantes.

Lógica de identificação

A ferramenta cruza vários sinais para decidir:

A extensão acrescentada ao ficheiro cifrado (.lockbit, .djvu, .conti, etc.).
A estrutura binária do ficheiro: cabeçalho, marcador colocado no início ou no fim do ficheiro, assinatura do algoritmo (AES, ChaCha20, Salsa20), por vezes um rodapé com metadados (versão, ID da vítima, chave cifrada com RSA).
O hash da nota de resgate: a maioria das famílias usa um modelo de texto estável, variando apenas nos campos dinâmicos (UID, montante, ligação Tor). Um hash parcial ou uma assinatura lexical permite uma identificação fiável.
O nome do ficheiro da nota: README.txt, _readme.txt, HOW_TO_DECRYPT.txt, !!!HELP_FILE!!!.html, restore-my-files.txt, etc.
O fundo de ecrã de resgate nalguns casos (uma imagem substituída como fundo do ambiente de trabalho).

A triangulação destes sinais eleva a taxa de identificação acima dos 95% nas famílias indexadas. A base de dados cobre em 2026 mais de 1300 famílias, com o serviço a processar cerca de 1,5 milhões de submissões por ano.

Porque não apenas a extensão

Cerca de uma dúzia de ransomwares partilham extensões genéricas como .locked, .encrypted ou .crypto. Sem cruzar a nota e a estrutura binária, a identificação estaria regularmente errada — e um decryptor aplicado à família errada destrói os ficheiros de forma permanente.

Procedimento completo

Passo 1 — Prepare um ambiente de trabalho

Precisa de um dispositivo não infetado: smartphone, segundo PC, o computador de um familiar. Nunca use a máquina comprometida para a identificação — pode continuar a exfiltrar dados ou a cifrar ficheiros recém-criados.

Prepare dois suportes:

Uma pen USB para transferir a nota de resgate e um ficheiro cifrado.
Uma pasta de provas (capturas de ecrã, registos, registo de eventos).

Passo 2 — Extraia uma amostra de ficheiro cifrado

Trabalhe sempre sobre uma cópia, nunca sobre o original. Se sobrescrever ou modificar acidentalmente o original, perde a oportunidade de recuperação mesmo que um decryptor surja mais tarde.

Escolha um pequeno ficheiro cifrado (idealmente abaixo de 1 MB) — é o limite de carregamento no ID Ransomware. Um modesto .docx ou .jpg serve bem. Para examinar as características do ficheiro antes do carregamento, eis um script PowerShell que extrai as informações principais.

# Examinar um ficheiro cifrado sem o modificar
$file = "C:\Path\To\encrypted-sample.docx.lockbit3"

# Tamanho e marcas temporais
Get-Item $file | Select-Object FullName, Length, CreationTime, LastWriteTime

# Hash SHA-256 do ficheiro completo
Get-FileHash -Algorithm SHA256 $file

# Primeiros 256 bytes (cabeçalho) em hexadecimal - útil para identificar o marcador
$bytes = [System.IO.File]::ReadAllBytes($file) | Select-Object -First 256
($bytes | ForEach-Object { $_.ToString("X2") }) -join " "

# Últimos 512 bytes (o rodapé carrega muitas vezes o marcador e a chave RSA)
$all = [System.IO.File]::ReadAllBytes($file)
$tail = $all[($all.Length - 512)..($all.Length - 1)]
($tail | ForEach-Object { $_.ToString("X2") }) -join " "

# Procurar uma assinatura ASCII visível (UID, marcador familiar)
$content = [System.Text.Encoding]::ASCII.GetString($all)
[regex]::Matches($content, "[A-Za-z0-9]{16,}") | Select-Object -First 5

Este script nunca modifica o ficheiro (todas as operações são de apenas leitura) e devolve hash, cabeçalho e rodapé — útil para o fórum BleepingComputer se o ID Ransomware não reconhecer a variante.

Passo 3 — Recupere a nota de resgate

A nota é normalmente deixada no ambiente de trabalho, na pasta Documentos e dentro de cada pasta que contém ficheiros cifrados. Nomes de ficheiro comuns em 2026:

README.txt
_readme.txt (STOP/Djvu)
HOW_TO_DECRYPT.txt
!!!HELP_FILE!!!.html
restore-my-files.txt (LockBit)
RECOVER_DATA.html (Akira)
instructions_read_me.txt (BlackBasta)
recover-files.txt (Royal)

Antes do carregamento, oculte os identificadores pessoais. A nota contém quase sempre um UID, TID, ID de transação, endereço Bitcoin pessoal ou ligação Tor única que o identifica perante os atacantes. Substitua estas cadeias por [REDACTED] numa cópia da nota antes de a enviar ao ID Ransomware. Porquê: se mais tarde decidir contratar um negociador profissional, o atacante não deve saber que analisou publicamente a nota.

Passo 4 — Carregue no ID Ransomware

Abra id-ransomware.malwarehunterteam.com. A interface oferece dois campos:

Ransom Note: a nota de resgate (texto, HTML, imagem, áudio TTS em algumas variantes recentes).
Sample Encrypted File: um ficheiro cifrado.

Limite: 1 MB por ficheiro. Não é necessária conta, submissão anónima. O serviço processa o pedido em segundos.

Passo 5 — Leia o resultado

Três desfechos possíveis:

Identificação positiva com decryptor disponível. O resultado mostra o nome da família, uma ligação direta ao decryptor oficial (muitas vezes Emsisoft, Avast, Kaspersky ou No More Ransom) e uma ligação ao tópico BleepingComputer pertinente. Descarregue o decryptor apenas a partir da fonte oficial — existem falsos decryptors armadilhados.

Identificação positiva sem decryptor. A variante é conhecida mas não existe ferramenta gratuita (caso do LockBit 3.0, Akira recente, Royal, BlackCat, Play, 8base, BlackBasta). Anote o nome exato para os passos seguintes (negociação, queixa, notificação de violação de dados).

Identificação incerta ou múltipla. O serviço devolve vários candidatos. Cruze com o BleepingComputer e o No More Ransom para desfazer o empate.

Passo 6 — Cruze com bases de dados alternativas

O ID Ransomware não está sozinho. Bases de dados complementares úteis em 2026:

No More Ransom — Crypto Sheriff (nomoreransom.org): iniciativa conjunta da Europol, da polícia neerlandesa e de vários fornecedores de antivírus. Base de dados de mais de 200 decryptors gratuitos. Interface semelhante (carregar nota + amostra).
BleepingComputer Ransomware ID (bleepingcomputer.com/forums): fórum comunitário com analistas voluntários. Mais reativo nas variantes emergentes.
Emsisoft Ransomware Identification (emsisoft.com/ransomware-decryption): integrado no seu catálogo de decryptors.
Coveware (coveware.com): identificação gratuita para empresas que contratam uma missão paga de resposta/negociação.

Famílias de ransomware comuns 2024–2026

Família	Extensão típica	Decryptor gratuito	Modelo
LockBit 3.0 / Black	.lockbit, .HLJkNskOq (aleatório)	Não (chaves parciais via operação policial 2024)	RaaS — afiliados
LockBit 4.0	.[aleatório]	Não	RaaS — relançamento 2024
Akira	.akira, .powerranges	Parcial (variantes mais antigas)	RaaS
BlackCat / ALPHV	.[7 caracteres aleatórios]	Não (chaves FBI 2023, limitadas)	RaaS — parcialmente desmantelado
Royal	.royal, .royal_w, .royal_u	Não	Grupo fechado
BlackBasta	.basta	Não	RaaS
Play	.play, .PLAY	Não	Grupo fechado
8base	.8base, .id-.8base	Não	RaaS
STOP / Djvu	.djvu, .stop, .pulsar1, .qehu, etc.	Parcial (Emsisoft, apenas chaves offline)	Solo + variantes
Phobos	.phobos, .eight, .eject, .devos	Parcial (chaves divulgadas 2024)	RaaS
Conti (legado)	.conti, .[5 aleatórios]	Não (código-fonte divulgado 2022)	Desmantelado — variantes ativas
Hive (legado)	.hive, .[aleatório]	Sim (chaves FBI 2023)	Desmantelado jan. 2023
Babuk (legado)	.babuk, .babyk, .NIST_K571	Parcial (código divulgado 2021)	Desmantelado — variantes ativas
Cl0p	.clop, .C_L_O_P, .cllp	Não	Grupo fechado
Medusa	.MEDUSA	Não	RaaS

O estatuto pode evoluir: monitorize regularmente o No More Ransom e os boletins da CISA.

Após a identificação — o que fazer consoante o resultado

Caso A — Existe um decryptor oficial

Excelente notícia, mas atenção às armadilhas.

Descarregue o decryptor apenas a partir da fonte oficial (ligação do ID Ransomware, do No More Ransom ou do site do fornecedor).
Teste primeiro numa cópia de um ficheiro cifrado. Se a cópia for decifrada corretamente, alargue a todo o parque de máquinas.
Conserve os ficheiros cifrados originais até confirmar que a recuperação está completa e estável (mínimo de 1 a 2 semanas).

Consulte o nosso guia Decifrar um ransomware sem pagar para a lista de ferramentas por família.

Caso B — Nenhum decryptor disponível

Sem pânico — é o caso mais comum em 2026 nas famílias RaaS recentes. Restam várias alavancas:

Backup anterior ao ataque: primeira tentativa de recuperação. Verifique backup na cloud (OneDrive, Backblaze, iCloud), disco externo desligado, NAS off-site.
Cópias sombra do Windows ainda não destruídas — ver Recuperação de cópias sombra do Windows.
EaseUS Data Recovery Wizard para analisar os fragmentos não cifrados (ficheiros temporários do Office, guardados automáticos da Adobe, miniaturas EXIF). Método descrito em Recuperar ficheiros após um ransomware.
NAS Synology / QNAP atingido: procedimentos específicos em Ransomware em NAS Synology e QNAP.

Escolha editorial

4.5 / 5

Analise os fragmentos recuperáveis com o EaseUS

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB

Ver a oferta

Caso C — Queixa e notificação obrigatórias

Qualquer que seja o resultado:

Apresente queixa junto das autoridades. Nos EUA: IC3.gov. Reino Unido: Action Fraud. Portugal: PJ — Unidade Nacional de Combate ao Cibercrime. Espanha: INCIBE.
Notificação RGPD num prazo de 72 horas se tratar dados pessoais de terceiros (clientes, colaboradores, contactos). Obrigação do Artigo 33.º na UE/EEE. Obrigações equivalentes existem na Califórnia (CCPA), no Brasil (LGPD), no Reino Unido (UK-GDPR).
Participação à seguradora cibernética se estiver coberto — uma queixa policial é normalmente exigida para acionar o reembolso.

Falsos positivos e armadilhas comuns

Variantes baseadas em código-fonte divulgado

O código-fonte do Conti, LockBit Black, Babuk e HelloKitty foi divulgado entre 2021 e 2024. Variantes amadoras reutilizam estas bases de código com chaves próprias. O ID Ransomware pode classificá-las como a família-mãe, mas o decryptor da família-mãe não funcionará nestas variantes (chaves independentes). Teste sempre numa cópia antes da implementação.

Colisões de extensões

Várias famílias usam as mesmas extensões genéricas:

.locked: usada por pelo menos 12 famílias diferentes (TeslaCrypt, Locked-In, Cerber, etc.).
.encrypted: 8 famílias conhecidas.
.crypt: 6 famílias.

Sem a nota de resgate, a identificação apenas pela extensão é pouco fiável. Carregue sempre ambos.

Falsos decryptors

Fóruns clandestinos e alguns sites de SEO black-hat divulgam decryptors armadilhados (eles próprios ransomwares ou ladrões de credenciais). Descarregue apenas a partir de:

A ligação oficial no ID Ransomware.
No More Ransom.
Sites dos fornecedores de antivírus (Emsisoft, Kaspersky, Avast, Bitdefender, Trend Micro).

Segurança do serviço — pontos de atenção

O ID Ransomware não expõe o conteúdo dos seus ficheiros: um ficheiro cifrado sem a chave é criptograficamente inutilizável, mesmo para o MalwareHunterTeam. A nota de resgate, porém, merece cuidado:

Identificadores únicos da vítima (UID, TID, ID de transação, endereço Bitcoin pessoal, ligação Tor única). Mascare-os antes do carregamento.
Dados empresariais estruturados, por vezes injetados pelos atacantes (nome da organização, montantes específicos). Preserve a confidencialidade antes da submissão pública.
Política de retenção: o ID Ransomware retém as submissões para enriquecer a base de dados de investigação mas não publica o conteúdo. Para casos sensíveis (governo, saúde, infraestruturas críticas), recorra a um CSIRT nacional em vez da ferramenta pública.

Em resumo

Identificar a variante é a primeira ação útil depois de isolar a máquina. O procedimento demora 10 a 15 minutos, não custa nada e condiciona tudo o que se segue: decryptor disponível, modelo de ameaça, obrigações legais, escolha da ferramenta de recuperação.

Comece por id-ransomware.malwarehunterteam.com, cruze com o No More Ransom e o BleepingComputer e depois decida. E se estiver a meio de um ataque sem um plano, siga a metodologia completa em Recuperar ficheiros após um ransomware — ou inicie um diagnóstico para estimar as probabilidades de recuperação.

Recursos