O que é ransomware? Veja como funciona essa ameaça cibernética

Existem ransomwares de criptografia, que criptografa arquivos e exigem pagamentos pela chave de descriptografia, e de bloqueio de tela, que impedem o acesso ao sistema

Lupa Charleaux Igor Shimabukuro
• Atualizado 26/06/2025 às 17:27
Ilustração sobre Ransomware
Saiba o que é e como se proteger de um ataque de ransomware (imagem: Vitor Pádua/Tecnoblog)

Ransomware é um tipo de malware que bloqueia o acesso de usuários a dados ou sistemas, deixando-os inacessíveis. Ele criptografa geralmente os arquivos da vítima e exige o pagamento de um resgate para restaurar o acesso.

A infecção por ransomware costuma ocorrer via e-mails de phishing ou pela exploração de vulnerabilidades em softwares. Uma mensagem é enviada para a vítima após o sequestro dos dados, tornando-os inacessíveis até o pagamento do resgate, o que pode paralisar operações essenciais em empresas.

Grandes ataques de ransomware incluem o WannaCry, que afetou hospitais britânicos em 2017, e o DarkSide, responsável pela paralisação do oleoduto da Colonial Pipeline em 2021. Esses incidentes destacam o impacto que essa categoria de malware pode causar em empresas e indivíduos comuns.

Entenda melhor o que é ransomware, como ele funciona, os diferentes tipos e como se proteger desses ataques cibernéticos.

O que é ransomware?

Ransomware é uma categoria de malware que bloqueia o acesso a dados ou sistemas, criptografando arquivos ou impedindo o uso do dispositivo da vítima. Então, cibercriminosos exigem um resgate para restaurar o acesso aos conteúdos.

O que significa ransomware?

Ransomware é a combinação das palavras em inglês “Ransom” (resgate, em português) e software. Ou seja, um software malicioso que exige um resgate para encerrar o ataque cibernético.

Imagem de um computador exibindo a mensagem hack the web
As ações de ransomware resultam no sequestro de dados ou impedir o acesso a sistemas (imagem: Glen Carrie/Unsplash)

Qual a função do ransomware?

O objetivo de um ransomware é impedir o acesso da vítima a arquivos, sistemas ou redes, mantendo os dados como reféns. Então, os invasores exigem um pagamento para restaurar o acesso e liberar as informações.

Essa interrupção traz riscos aos usuários e empresas, que podem ter as operações e atividades paralisadas. As vítimas também enfrentam a dupla extorsão, quando os criminosos ameaçam vazar os dados sensíveis caso o resgate não seja efetuado.

Um ataque de ransomware pode ter consequências graves para a reputação de grandes empresas, especialmente se os dados confidenciais de clientes forem comprometidos. Além disso, elas podem ser punidas com consequências legais e multas devido às violações de dados e falhas de segurança.

Como funciona o ransomware

Um ataque de ransomware geralmente começa com a infiltração, que pode ocorrer por meio de e-mails de phishing com anexos maliciosos ou download de software comprometido. Os invasores também podem explorar falhas em sistemas e redes para iniciar a ação.

O malware se espalha pela rede em um movimento lateral após a infiltração, buscando por dados e sistemas valiosos. Os atacantes priorizam dados como credenciais de login, informações pessoais e propriedade intelectual, que podem ser usados para uma dupla extorsão (ameaça de vazamento ou exclusão definitiva dos dados).

Com os dados identificados e copiados para servidores externos, o ransomware inicia a fase de criptografia. O malware bloqueia o acesso aos arquivos ou ao próprio sistema, tornando-os indisponíveis para a vítima e realizando o sequestro dos dados.

Por fim, os invasores enviam uma nota de resgate, informando sobre o ataque e as condições de pagamento para descriptografar os arquivos ou liberar o dispositivo. O prazo curto para o resgate visando coagir a vítima e o pagamento em criptomoedas para dificultar o rastreamento são algumas características comuns da ação dos invasores.

Uma ilustração em tom roxo e vinho que representa um ataque de phishing. No centro, um notebook exibe em sua tela escura um formulário de login falso flutuando, com campos "USER NAME" e "PASSWORD", e um botão "LOGIN", todos com o ícone de uma pessoa roxa no topo. Este formulário está pendurado por um anzol, como em uma pescaria. Outros formulários semelhantes, desfocados, aparecem pendurados no lado esquerdo e direito, fora da tela do notebook. Ao fundo, números "0" e "1" que remetem a código binário são visíveis, e no canto inferior direito, a marca d'água "tecnoblog".
Hackers podem usar táticas de phishing para se infiltrar em sistemas (ilustração: Vitor Pádua/Tecnoblog)

Quais são os tipos de ransomware?

Os ataques de ransomware são divididos em quatro categorias gerais:

  • Ransomware criptográfico: este ataque realiza a criptografia dos dados da vítima, que são liberados apenas após o pagamento de um resgate pela chave de descriptografia;
  • Ransomware de bloqueio de tela: este tipo de ataque impõe o bloqueio total do dispositivo, impedindo o acesso ao sistema operacional e exibindo uma tela de resgate para liberar a máquina;
  • Scareware: usando engenharia social, este ataque assusta a vítima para que ela adquira um software de segurança falso que, na verdade, contém malware para o sequestro de dados;
  • Ransomware-as-a-Service (RaaS): neste modelo, um indivíduo adquire um pacote completo de ransomware para atacar vítimas, dividindo os lucros do resgate com o provedor do RaaS.

Quais são os ataques de ransomware mais conhecidos?

Estes são alguns dos casos mais notórios de ataques de ransomware que geraram grande impacto:

  • CDK Global (junho de 2024): ataque que paralisou 15 mil concessionárias de veículos nos EUA e Canadá, impedindo vendas e acesso a estoques, resultando em um prejuízo estimado em US$ 1 bilhão para a empresa de software do setor automotivo;
  • Synnovis (junho de 2024): a prestadora de serviços de patologia e laboratório no Reino Unido teve todos os sistemas criptografados e mais de 400 GB de dados confidenciais vazados, interrompendo atendimento e gerando transtorno na saúde pública;
  • Ascension (maio de 2024): o sistema de saúde foi alvo do grupo Black Basta, comprometendo registros médicos eletrônicos e sistemas de atendimento ao paciente, com um custo estimado de US$ 1,3 bilhão em danos;
  • Cassinos Caesars e MGM (setembro de 2023): as redes cassino de Las Vegas perderam acesso à infraestrutura de TI, incluindo máquinas de apostas, devido a um ataque do grupo ALPHV/Black Cat que explorou uma vulnerabilidade na plataforma NCR Aloha;
  • Costa Rica (abril de 2022): o grupo Conti lançou um ataque contra instituições governamentais, impactando diversos ministérios e serviços públicos. Os efeitos da ação se estenderam por semanas, mesmo após a interrupção de alguns sistemas;
  • Colonial Pipeline (maio de 2021): ataque que interrompeu as operações do maior sistema de oleoduto dos EUA, afetando severamente a distribuição de combustível no sudeste do país e causando escassez em diversas cidades;
  • JBS USA (maio de 2021): a fabricante de carne teve as operações nos EUA temporariamente paralisadas após um ataque de ransomware-as-a-service do grupo REvil, levando ao pagamento de um resgate de US$ 11 milhões em Bitcoin;
  • Serviço Nacional de Saúde do Reino Unido (maio de 2017): o NHS foi uma das vítimas globais do ransomware WannaCry, comprometendo hospitais e farmácias na Inglaterra e Escócia e atrasando o atendimento de milhares de pacientes.
Imagem área de tanques de combustível da Colonial Pipeline em Woodbine, Maryland
O ataque a Colonial Pipeline é um dos principais casos de ransomware (imagem: Jim Lo Scalzo/Shutterstock)

O que fazer ao sofrer um ataque ransomware?

A primeira medida crucial ao enfrentar um ataque ransomware é isolar imediatamente o sistema ou dispositivo infectado. Desconecte-o de qualquer rede, seja por cabo, Wi-Fi ou Bluetooth, para conter a propagação do malware e minimizar os danos.

Em seguida, faça uma análise detalhada dos impactos, identificando quais arquivos foram criptografados e quais sistemas ou dispositivos foram bloqueados. É essencial também localizar o “Paciente Zero”, o ponto inicial da infecção, para tentar descobrir qual vulnerabilidade foi explorada no ataque e reforçar as defesas.

Documente todas as informações e contate as autoridades especializadas em crimes cibernéticos. Eles fornecerão as diretrizes para a recuperação ou descriptografia dos dados e auxiliarão na investigação para identificar os responsáveis pelo ataque.

Por que não se deve pagar a recompensa de um ataque ransomware?

As autoridades especializadas em crimes cibernéticos citam que o pagamento do resgate de ransomware não assegura a recuperação dos dados ou o acesso aos sistemas. Há diversos casos em que, mesmo após o pagamento, os criminosos não cumprem o acordo, deixando as vítimas com o dobro de prejuízo.

Além disso, os resgates financiam e encorajam os grupos hackers a continuar as atividades ilícitas, aumentando a frequência e a sofisticação dos ataques. Essa prática também estimula outros criminosos a entrarem nesse tipo de crime, mantendo o ciclo de extorsão digital.

Ilustração sobre crime cibernético
Autoridades não econrajam o pagamento de resgates em casos de ransomware (imagem: Vitor Pádua/Tecnoblog)

Como evitar ataques ransomwares

É essencial adotar práticas de segurança no dia a dia para se proteger de ataques de ransomware e outros crimes cibernéticos. Veja como minimizar os riscos de ser uma vítima:

  • Mantenha sistemas e dispositivos atualizados: sempre instale as atualizações de software e hardware. Elas incluem patches de segurança que corrigem vulnerabilidades, impedindo que invasores explorem falhas do sistema;
  • Adote softwares de segurança: use antimalware, firewalls e ferramentas de monitoramento. Esses programas reforçam a proteção da rede e sistema, realizando escaneamentos rotineiros para interceptar ameaças em tempo real;
  • Use senhas fortes e exclusivas: crie senhas longas e complexas, combinando letras maiúsculas e minúsculas, números e caracteres especiais. Nunca reutilize senhas entre contas e troque-as regularmente para maior segurança;
  • Ative a autenticação de dois fatores (2FA): habilite o 2FA em todas as contas online importantes. Isso adiciona uma camada extra de proteção, garantindo a segurança mesmo se a senha for comprometida;
  • Realize backups frequentes e isolados: salve dados sensíveis e imagens do sistema regularmente em locais seguros e desconectados da rede. Assim, em caso de ataque, é possível restaurar os dados sem precisar pagar o resgate;
  • Treine a equipe em segurança cibernética: empresas devem capacitar funcionários para reconhecer e evitar ataques de phishing, engenharia social e outras táticas. Isso minimiza significativamente o risco de infecções por malware;
  • Implemente filtros de e-mail e web: use soluções que filtram e-mails maliciosos e bloqueiam acesso a sites perigosos. Essa medida preventiva pode impedir o acesso a links ou anexos infectados por ransomware;
  • Crie um plano de resposta a incidentes: empresas devem ter um plano claro com funções e responsabilidades definidas para a equipe de TI, oferecendo uma ação rápida e coordenada em caso de ransomware e minimizando os impactos nas operações.
Checando atualização do iOS (imagem: Emerson Alecrim/Tecnoblog)
Manter sistemas operacionais sempre atualizados pode evitar ataques de ransomware (imagem: Emerson Alecrim/Tecnoblog)

Qual é a diferença entre ransomware e malware?

Ransomware é um tipo específico de malware que visa bloquear o acesso a dados ou sistemas, geralmente criptografando arquivos importantes. Os criminosos exigem um pagamento de um resgate para restabelecer o acesso, caso contrário, os dados podem ser perdidos ou comprometidos de forma permanente.

Malware é um termo abrangente para qualquer software malicioso criado para causar danos, obter acesso não autorizado ou explorar vulnerabilidades de sistemas de computador. Ele engloba diversas ameaças, como vírus, worms, spyware, trojans e ransomware, cada um com métodos e objetivos distintos.

Qual é a diferença entre ransomware e phishing?

Ransomware é um tipo de software malicioso que criptografa os arquivos do usuário ou bloqueia o acesso a sistemas e dispositivos. Os criminosos exigem um pagamento, geralmente em criptomoedas, em troca da chave de descriptografia para restabelecer o acesso.

Phishing é uma técnica de engenharia social onde golpistas se passam por entidades confiáveis, como bancos ou órgãos governamentais, para enganar as vítimas. O funcionamento do phishing envolve o envio de e-mails ou SMS falsos para roubar informações confidenciais, como senhas e dados bancários, ou induzir a instalação de outros malwares.

Relacionados

Não há ransomware funcional explorando CPUs no momento, mas prova de conceito indica que o risco de isso acontecer não é nulo.
Pesquisador cria ransomware que pode atacar a CPU
Ciberataques avançam na América Latina, mas governos reagem com mais investimento e cooperação internacional.
Ransomware aumenta 15% na América Latina, mostra estudo da CrowdStrike
Big tech americana quer impedir que governo britânico force acesso aos dados privados do iCloud com um backdoor para espionagem.
Apple entra na Justiça contra o Reino Unido, diz jornal
Governo britânico quer backdoor para acessar arquivos do iCloud. Apple argumenta que mecanismo pode virar problema de segurança nas mãos de criminosos.
Apple retira criptografia no Reino Unido após pressão do governo
Entender o conceito de cibersegurança é fundamental para combater ataques cibernéticos contra redes, sistemas de empresas, softwares e dados sensíveis no ambiente digital
O que é cibersegurança? Saiba o que significa o conceito e entenda sua importância
Usar uma chave física de segurança garante mais proteção do que usar aplicativos de autenticação em duas etapas, como Google Authenticator e Authy, por exemplo
O que é e como usar uma chave de segurança U2F/FIDO
Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
Um malware é um software malicioso criado para danificar, roubar dados ou controlar sistemas de computador, comprometendo a segurança e a privacidade das vítimas
O que é malware? Veja como funciona e quais são os tipos de ameaças

Escrito por

Lupa Charleaux

Lupa Charleaux

Repórter

Nerd por natureza, Lupa Charleaux é formado em Jornalismo Multimídia pela São Judas Unimonte (2012). Iniciou a carreira como repórter de entretenimento em 2013, mas migrou para a editoria de tecnologia em 2019. Construiu experiência na área ao produzir notícias diárias sobre eletrônicos (celulares, vestíveis), inovação, mercado e conteúdos especiais sobre os temas. É repórter do Tecnoblog desde outubro de 2023. Anteriormente, atuou como redator de tecnologia e entretenimento no TecMundo (2019-2021/2022-2023) e redator de produtos no Canaltech (2021-2022).

Igor Shimabukuro

Igor Shimabukuro

Redator

Igor Shimabukuro é jornalista graduado e pós-graduado em Mídias Digitais pela Universidade Metodista de São Paulo. Já fez de tudo um pouco na área de jornalismo, e passou por Olhar Digital e TecMasters antes de integrar o Tecnoblog. É apaixonado por videogames, Pokémon e futebol, brinca na guitarra, e não dispensa uma boa pescaria.