Checklist 24 Horas Pós-Ataque Ransomware
Resposta direta
As primeiras 24h após descoberta de ransomware definem se a recuperação será viável. Decisões erradas nas primeiras 6h destroem evidências, ativam reinfecção e inviabilizam descriptografia. Este checklist por janela de tempo é baseado em playbooks reais usados pela HD Doctor.
Por que as primeiras horas importam tanto
Em ataque ransomware típico, o atacante já está na rede há 7-30 dias antes de cifrar. A cifragem visível é o final, não o início. Nas primeiras horas após descoberta: (1) o atacante ainda tem persistência e pode reagir; (2) evidências em RAM estão se perdendo a cada reboot; (3) o relógio para notificação ANPD começa (72h). A janela 0-6h vale mais que as 18h seguintes.
Erros catastróficos nas primeiras 24h
- 1.Desligar servidores. Apaga toda evidência em RAM. Snapshot/captura primeiro, depois desliga se necessário.
- 2.Negociar diretamente com atacante. Sem jurídico, seguradora e técnico envolvidos, qualquer movimento é prejudicial. Atacante pode ser sancionado pela OFAC, criando crime adicional.
- 3.Restaurar backup imediatamente. Restore sem identificar persistência reativa o atacante. Identificar variante e vetor primeiro.
- 4.Conectar backup offline na rede infectada. Ransomware propaga via SMB. Backup limpo cai junto.
- 5.Comunicar publicamente antes de jurídico. Vazamento de informação prematuro complica notificação ANPD e cria responsabilidade legal adicional.
Cronograma hora-a-hora
- 1
0-1h: Isolamento sem desligamento
Desconecte cabos de rede e Wi-Fi de servidores e estações afetadas. NÃO desligue. Memória RAM contém evidências forenses críticas (chaves de cifragem, IoCs, beacons). Acione resposta emergencial profissional.
- 2
1-3h: Preservação forense
Snapshot de VMs vivas em ESXi/Hyper-V (não delete). Captura de RAM via FTK Imager Lite em hosts críticos. Cópia de logs vCenter, Active Directory, firewall, EDR antes que sejam apagados ou rotacionados.
- 3
3-6h: Identificação da variante
Identifique família (LockBit, BlackCat, Akira, Cl0p, Play, Conti) pela nota e extensão. Match contra base de decryptors públicos (Operação Cronos, Avast). Variante define todo o resto da resposta.
- 4
6-12h: Comunicação inicial
Acione DPO, jurídico, seguradora cyber. Comunique CEO. Inicie redação de notificação ANPD (prazo de 72h). Inicie comunicação técnica com equipes afetadas.
- 5
12-24h: Mapeamento e plano de restore
Inventário completo do escopo: quais hosts cifrados, quais backups disponíveis, quais ainda saudáveis. Plano de restore priorizado por criticidade de negócio. Aprovação executiva do plano.
Perguntas frequentes
Posso esperar 'só essa noite' para acionar resposta?
Não. Cada hora reduz a chance de recuperação. Variantes modernas (Akira, BlackCat) executam rotinas pós-cifragem que destroem mais dados a cada hora. Acionamento profissional deve ocorrer na primeira hora após descoberta.
Devo avisar a polícia?
Sim, em paralelo com resposta técnica. No Brasil: Polícia Federal (DEIC para empresas) e ANPD para dados pessoais. Nos EUA: FBI IC3.gov. Notificação não obriga investigação imediata mas registra o incidente.
Quanto tempo até restaurar operação?
Cenário ideal (backup imutável intacto + escopo limitado): 3-7 dias. Cenário médio (sem golden ticket no AD): 10-20 dias. Cenário crítico (AD comprometido profundamente): 30-60 dias.
A seguradora cyber paga o resgate?
Cada vez menos. Apólices 2024+ têm exclusões para variantes sancionadas pela OFAC. Mesmo quando paga, exige autorização prévia e relatório técnico.
Preciso pagar o resgate para evitar vazamento?
Não há garantia. Casos documentados (Maximus, Shell, PwC) tiveram dados vazados mesmo após pagamento. Foco deve ser em mitigação e notificação aos titulares afetados.
Sob ataque agora?
Engenheiro sênior em até 6h. Cadeia de custódia documentada.