Pagar Ransomware ou Não: 7 Critérios Antes da Decisão
Resposta direta
Pagar resgate ransomware é decisão crítica que mistura técnica, jurídico, ética e finanças. Em 2026 a recomendação técnica é cada vez mais clara: na maioria dos casos NÃO. Mas há cenários específicos onde a análise muda. Este artigo apresenta 7 critérios objetivos.
Por que a recomendação geral é NÃO pagar
Cinco razões técnicas e legais: (1) variantes como BlackCat fizeram exit scam após receber pagamento — entregaram chave inválida; (2) sanções OFAC criminalizam pagamento a grupos sancionados (LockBit, Conti, BlackMatter); (3) seguradoras cyber 2024+ negam cobertura para variantes sancionadas; (4) pagar financia ataques futuros e marca a empresa como pagadora (lista repassada entre operadores); (5) pagamento não garante não-vazamento — casos Maximus, Shell, PwC tiveram dados publicados mesmo após pagar.
7 critérios objetivos antes de considerar pagar
- 1.Verifique status OFAC da variante. LockBit, Conti, BlackCat, EvilCorp são sancionados. Pagar = crime federal nos EUA e violação de compliance no Brasil. Verifique antes.
- 2.Avalie disponibilidade de backup limpo. Backup imutável intacto = pagar não tem justificativa técnica. Restore é mais barato e mais previsível.
- 3.Calcule custo real do downtime. Por hora parado × hora estimada de recuperação. Compare com valor exigido. Em muitos casos restore é mais caro que pagar, mas mais ético/legal.
- 4.Tente decryptor público primeiro. Operação Cronos (LockBit), Avast (Akira antigo), Kaspersky (Conti V3), FBI (BlackCat parcial). Tentativa antes de pagar é obrigatória.
- 5.Exija prova de descriptografia. Operador deve descriptografar 1 arquivo de teste antes de qualquer movimento financeiro. Sem essa prova, pagamento é loteria.
- 6.Envolva seguradora cyber ANTES de negociar. Negociação sem autorização pode invalidar cobertura. Algumas seguradoras têm negociadores próprios ou parceiros autorizados.
- 7.Calcule impacto reputacional. Pagar pode vazar (ex: relatórios da Chainalysis trackeiam wallets). Cliente pagador é alvo recorrente nos próximos 12-24 meses.
Perguntas frequentes
Quanto custa um resgate ransomware típico?
Variável amplamente. PME (até 100 funcionários): US$ 50K-500K. Média empresa: US$ 500K-5M. Grande corporação: US$ 5M-50M+. Recordes públicos: Change Healthcare US$ 22M (2024), Colonial Pipeline US$ 4,4M (2021).
Posso negociar para abaixar o valor?
Sim, e tipicamente se consegue 30-60% de desconto via negociadores especializados. Mas mesmo valor reduzido carrega todos os riscos legais.
E se pagar mas não receber a chave?
Acontece. Casos BlackCat pós-exit-scam 2024 documentados. Recurso legal é praticamente nulo — você pagou criminoso anônimo via cripto.
Existe seguro cyber que cobre ransomware?
Sim, mas com cláusulas crescentes de exclusão. Verifique apólice ANTES de incidente. Após incidente, comunicar seguradora nas primeiras horas é obrigatório para manter cobertura.
O que fazer se decidirmos pagar?
1) Confirmar via jurídico/compliance que variante não é OFAC-sancionada. 2) Envolver seguradora. 3) Usar negociador profissional (Coveware, GroupSense, Arete). 4) Exigir descriptografia de arquivo teste. 5) Pagar em escrow se possível. 6) Continuar restauração paralela com backup, decryptor público sempre é tentado primeiro.
Decisão de pagar pesando? Análise técnica gratuita.
Análise de viabilidade de restore + tentativa de decryptor público antes de qualquer decisão de pagamento.