Devo pagar o resgate?

Não, não como primeira jogada. As autoridades portuguesas (PJ, CNCS), francesas (ANSSI), norte-americanas (FBI, CISA) e europeias (Europol) desaconselham todas o pagamento. O pagamento não garante a recuperação, financia o cibercrime e marca a vítima como rentável para ataques futuros. Várias estirpes têm desencriptadores gratuitos no No More Ransom.

De quanto tempo disponho para reagir?

Quanto mais depressa cortar a propagação, melhor. Muitos ransomware cifram em cascata — primeiro os ficheiros locais, depois as partilhas de rede, depois as cópias ligadas. Desligue a rede e os discos externos nos minutos seguintes à descoberta.

As minhas cópias locais também estão cifradas, e agora?

É o cenário mais frequente — o ransomware moderno ataca ativamente os discos de cópia ligados. Verifique se tinha uma cópia na nuvem com versionamento (OneDrive, Backblaze, iDrive): as versões anteriores à cifragem são recuperáveis. Caso contrário, procure cópias-sombra do Windows ainda não destruídas.

Como identifico a estirpe do ransomware?

Anote a extensão acrescentada aos ficheiros cifrados (por exemplo .locked, .crypt, .lockbit) e o conteúdo do README deixado pelos atacantes. Carregue um ficheiro cifrado + o README no ID Ransomware (id-ransomware.malwarehunterteam.com) — a sua base de dados reconhece a maioria das estirpes em segundos.

Um software de recuperação pode desencriptar os meus ficheiros?

Não — o software de recuperação não desencripta. O que o EaseUS Data Recovery pode fazer: encontrar cópias não cifradas ainda presentes no espaço livre do disco, nas cópias-sombra ou em ficheiros temporários (Office .tmp, Photoshop .psb).

Devo apresentar queixa?

Sim, sempre. Portugal: PJ ou queixa eletrónica, também através do CNCS. França: cybermalveillance.gouv.fr. Estados Unidos: IC3.gov. UE: Europol através do portal nacional. Isto alimenta as investigações, pode desbloquear apoio e é exigido pela maioria das apólices de ciberseguro.

Recuperar ficheiros após um ataque de ransomware: metodologia 2026

Uma mensagem em ecrã inteiro exige um resgate em bitcoin, os seus documentos têm uma extensão estranha (.locked, .lockbit, .crypt), o seu antivírus desligou-se ou foi desativado. Está perante um ransomware. As próximas horas decidem o que poderá recuperar.

Este guia reúne a metodologia de resposta aplicada pelos CSIRT e pelas seguradoras cibernéticas em 2026, adaptada ao caso pessoal (um único posto, não um SI empresarial).

Compreender exatamente o que aconteceu do ponto de vista técnico

Antes de agir, dedicar um minuto a compreender tecnicamente o que o ransomware fez muda por completo as opções de recuperação ainda em aberto. O desconhecimento destes mecanismos leva muitos utilizadores a decisões catastróficas nas primeiras horas — formatação imediata, pagamento do resgate ou, pior, reinício da máquina sem precaução.

O ransomware moderno segue geralmente três fases distintas no momento do ataque. Fase inicial: executa-se de forma discreta e explora o sistema para identificar os discos ligados (locais, USB, rede partilhada) e estimar o volume a cifrar. Fase de cifragem: gera um par de chaves AES por ficheiro (ou por pasta consoante a variante), cifra cada ficheiro no lugar ou cria uma cópia cifrada e depois apaga o original, e em seguida cifra as chaves AES com uma chave pública RSA do servidor do atacante — é precisamente este último passo que torna a desencriptação impossível sem a chave privada detida pelos atacantes. Fase de visibilidade: deixa notas de resgate e muda o fundo do ecrã para se tornar visível.

A nuance técnica crítica: a cifragem por ficheiro com AES pode demorar várias horas numa máquina grande (200 000 ficheiros, 2 TB). Se detetar a infeção antes de o processo terminar, desligando rapidamente a máquina (manter o botão de ligar premido 10 segundos, não um encerramento limpo do Windows), pode salvar ficheiros ainda não processados. Pelo contrário, se reiniciar a máquina depois de concluída a cifragem, o ransomware pode relançar um ciclo sobre os ficheiros recém-criados desde a primeira passagem. A reação certa nunca é o reinício imediato.

A outra nuance importante diz respeito às Volume Shadow Copies do Windows. O mecanismo do sistema que permite voltar a versões anteriores dos ficheiros é visado prioritariamente por 95% do ransomware moderno — executam vssadmin delete shadows /all nos primeiros segundos para eliminar esta via de recuperação. Mas algumas variantes falham parcialmente ou esquecem alguns volumes (nomeadamente discos externos não cifrados). Verificar a possível sobrevivência das cópias-sombra antes de tocar no sistema é gratuito e pode poupar horas de trabalho.

Por fim, as cópias de segurança ligadas no momento do ataque também são visadas e cifradas pelo ransomware moderno. Se o seu disco de cópia externo estava ligado por USB ou o seu NAS estava montado como unidade de rede no momento do incidente, considere-os comprometidos até prova em contrário. É exatamente a lógica da regra 3-2-1 com uma cópia fora do local ou desligada — é o que realmente o salva no cenário de ransomware.

Fase 1 — Isolar imediatamente (primeiros 5 minutos)

Não tente compreendê-lo de imediato. O ransomware está provavelmente ainda a cifrar.

Desligue o cabo Ethernet e desative o Wi-Fi (modo de avião).
Retire todos os discos externos e pens USB. O ransomware moderno (Conti, LockBit, BlackCat) ataca ativamente os suportes ligados.
Se estiver numa rede partilhada (NAS, partilha Windows), avise os outros utilizadores e desligue-os também. O ransomware pode propagar-se por SMB.
Não desligue o PC de forma brusca. A memória pode conter a chave de cifragem, explorável por algumas ferramentas forenses.

Nesta fase, a cifragem ativa para (o ransomware precisa de rede ou disco para continuar). Respire fundo.

Fase 2 — Documentar para queixa e desencriptadores

Com outro dispositivo (telemóvel, segundo PC), constitua um dossiê de provas:

Fotografia do ecrã de resgate.
Registo do nome do ficheiro README deixado pelos atacantes (muitas vezes README.txt, HOW_TO_DECRYPT.html, etc.) e do seu conteúdo completo.
Anote a extensão acrescentada aos ficheiros cifrados (.locked, .lockbit3, .crypt, etc.).
Hora aproximada da descoberta.
Lista dos programas que estavam em execução pouco antes.
Origem provável (anexo de email, ligação suspeita, atualização de software pirateado).

Estes elementos sustentam a queixa (necessária para ativar o ciberseguro) e a identificação da estirpe.

Fase 3 — Identificar a estirpe

No outro dispositivo, vá a id-ransomware.malwarehunterteam.com (projeto mantido por Michael Gillespie desde 2016). Carregue um ficheiro cifrado + o README. A ferramenta reconhece a maioria das estirpes em segundos. Para o passo a passo completo e as armadilhas da identificação, veja o nosso guia de identificação com o ID Ransomware.

Uma vez identificada, procure um desencriptador gratuito no No More Ransom — iniciativa conjunta da Europol, da Polícia Nacional dos Países Baixos e de vários fornecedores de antivírus. A base de dados cobre mais de 200 estirpes em 2026, incluindo algumas famílias muito difundidas (Phobos, STOP/Djvu — parcialmente, Avaddon, REvil). Se ainda não existir um desencriptador público, guarde os ficheiros cifrados: a nossa metodologia completa em desencriptar ransomware sem pagar enumera as vias restantes (fugas de chaves, vulnerabilidades, janelas de divulgação pública).

Se existir um desencriptador: siga as suas instruções à letra, teste primeiro num ficheiro copiado (nunca no original).

Fase 4 — Restaurar a partir de uma cópia limpa

A via de recuperação mais fiável, se tinha uma cópia de segurança.

Caso 1 — Cópia na nuvem com versionamento

OneDrive, Google Drive, Dropbox, Backblaze, IDrive e equivalentes guardam versões anteriores dos ficheiros. Concretamente:

OneDrive: web → ficheiro → menu de três pontos → Histórico de versões. Permite restaurar a versão anterior à cifragem.
Google Drive: web → ficheiro → botão direito → Gerir versões.
Backblaze Computer Backup: interface web → botão Restore → escolha uma data anterior ao ataque.
iCloud: limitado, não armazena todas as versões; verifique o site do iCloud Drive.

Restaure ficheiro a ficheiro ou em massa através das APIs dos serviços. Não volte a ligar a máquina infetada à sua conta na nuvem até estar limpa.

Caso 2 — Cópia local (disco externo / NAS)

Se tinha desligado o disco entre as cópias, é provável que esteja seguro. Para verificar:

Noutro PC limpo, ligue o disco em modo só de leitura (leitor USB com interruptor de proteção contra escrita, se possível).
Abra ficheiros recentes — se abrirem normalmente, a cópia está intacta.
Apague e reinstale de forma limpa o sistema operativo no PC infetado.
Restaure a partir da cópia depois de o sistema estar reconstruído.

Se o disco externo estava ligado durante o ataque, trate-o como potencialmente cifrado. Analise o seu conteúdo — os ficheiros recentes provavelmente terão a mesma extensão.

Fase 5 — Recuperar cópias-sombra e ficheiros residuais

Sem cópia e sem desencriptador, restam duas vias:

Cópias-sombra do Windows

O Windows cria por vezes cópias-sombra (instantâneos de volume) que o ransomware tenta apagar com vssadmin delete shadows /all. Mas muitos esquecem algumas partições ou são interrompidos.

Para verificar:

Abra uma linha de comandos de administrador → vssadmin list shadows. Se listar cópias, há esperança.
Use o ShadowExplorer (gratuito, open source) ou o EaseUS Data Recovery Wizard para explorar as cópias-sombra e restaurar ficheiros anteriores à infeção.

Recuperação de ficheiros temporários e assinaturas binárias

O EaseUS Data Recovery Wizard também pode analisar os setores livres do disco à procura de fragmentos não cifrados: ficheiros Office .tmp, gravações automáticas da Adobe, scratch do Photoshop (.psb), miniaturas EXIF de fotografias.

Procedimento:

Instale o EaseUS Data Recovery Wizard numa pen USB ou noutro PC (não no sistema infetado).
Ligue o disco infetado em modo só de leitura no PC limpo (ou arranque a partir de um live USB de recuperação).
Execute uma análise profunda.
Filtre por tipo de ficheiro (.docx, .jpg, .xlsx) e por data anterior à infeção.
Restaure para um disco limpo.

Nos últimos seis testes documentados por casos da comunidade de apoio, este método recuperou 15 a 40% do conteúdo — não é o ideal, mas muitas vezes melhor do que zero.

Escolha editorial

4.5 / 5

Execute uma análise com o EaseUS Data Recovery Wizard

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB

Ver a oferta

Fase 6 — Comunicação, notificação e reforço

Apresentar queixa

França: esquadra ou online em cybermalveillance.gouv.fr. A queixa-crime ativa o ciberseguro.
Estados Unidos: comunicação ao IC3 (ic3.gov).
Reino Unido: Action Fraud (actionfraud.police.uk).
UE: Europol através do portal nacional.

Notificação RGPD

Se tratar dados pessoais de terceiros (clientes, colaboradores, contactos), uma notificação ao abrigo do RGPD em 72 horas é obrigatória em caso de fuga provável. Em Portugal, a comunicação é feita à CNPD.

Reconstruir e reforçar

Após o incidente, nunca volte a ligar um sistema infetado sem uma reinstalação limpa. E antes de o repor em serviço:

Atualizações do sistema operativo em dia, EDR em dia.
Cópias 3-2-1 aplicadas com rigor, incluindo uma cópia fora do local imutável.
Autenticação multifator em todo o lado (correio, nuvem, acesso remoto).
Macros do Office desativadas por predefinição.
Extensões de risco (.exe, .scr, .js, .vbs, .iso, .img) filtradas na gateway de correio.

Veja o nosso guia Cópia de segurança automática Windows / Mac 2026 para configurar uma estratégia de cópia resistente a ransomware. Para um contexto empresarial (PME, multiposto, NAS, cópias Veeam), a nossa ficha proteção contra ransomware para empresas 2026 cobre os controlos adicionais (segmentação, imutabilidade, EDR, exercícios de recuperação).

Não pagar: porquê

As autoridades (ANSSI, FBI, CISA, Europol) desaconselham unanimemente o pagamento. Razões:

Sem garantia de recuperação: 1 em cada 4 vítimas não recebe uma chave funcional após o pagamento (Sophos State of Ransomware 2024).
Financiamento do cibercrime: o seu pagamento financia a próxima campanha.
Marcado como alvo rentável: os atores partilham listas de pagadores. As reinfeções são frequentes em 18 meses.
Sanções: pagar a certos grupos (em listas OFAC, UE, ONU) pode constituir crime.

Reflexo certo: restaurar a partir de cópia ou desencriptador, reforçar, tirar as lições.

Recursos