RM Informática

tecnico

Ransomware numa PME: os primeiros 60 minutos (checklist)

O que fazer e não fazer na primeira hora depois de detectar ransomware numa empresa portuguesa. Checklist prática para quem tem de agir antes de ter o técnico no local.

Publicado em 10 de novembro de 2025 · Actualizado a 10 de novembro de 2025

Detectar ransomware na empresa às 9h da manhã, com o balcão aberto e clientes à espera, é um dos piores minutos na vida de qualquer gerente. As decisões tomadas na primeira hora são as que determinam quanto se perde — mais do que a qualidade do ataque em si.

Esta checklist é o que damos aos clientes com pack de horas activo quando nos ligam em situação de incidente. Publicamo-la aberta — se nunca mais precisares, melhor.

Como reconheces que é ransomware

  • Ficheiros com extensões novas (.locked, .encrypted, .xxxxx) em pastas partilhadas ou no disco.
  • Notas de resgate em .txt ou HTML no ambiente de trabalho.
  • Ecrãs pretos com ameaças em várias máquinas ao mesmo tempo.
  • POS ou ERP a falhar no acesso a ficheiros do servidor.
  • Aplicações que arrancam mas não abrem documentos.

Em caso de dúvida, assume que é e age em conformidade.

Primeiros 60 minutos — o que fazer

Minuto 0-5 — Isolar

  • Desliga o Wi-Fi do router/ponto de acesso principal (fisicamente — tirar da tomada).
  • Desliga cabos de rede das máquinas afectadas. Não desligues os PCs (perdes memória volátil útil para análise).
  • Se há servidor central, desliga a rede dele também. Mantém-no ligado.
  • Se usas backups em NAS, desliga a NAS da rede imediatamente (alvo nº 1 do ransomware).

O objectivo é impedir propagação. Cada minuto extra = mais postos comprometidos.

Minuto 5-15 — Avaliar o âmbito

  • Quantos postos mostram sinais? Lista-os.
  • O servidor foi afectado? Verifica logs e partilhas.
  • Backups — estão noutro local físico ou lógico? Quando foi o último com sucesso?
  • Cloud (Microsoft 365) — mudaram permissões? Há regras de email suspeitas?

Não abras os ficheiros encriptados para “verificar”. Não copies para pen. Não arranques máquinas novas na mesma rede.

Minuto 15-30 — Comunicar (interno e legal)

  • Gerência — informa imediatamente.
  • Contabilidade — pedir para não processar documentos novos até indicação.
  • Técnico — liga ao parceiro informático . Quanto mais cedo chegamos, mais opções ficam abertas.
  • Clientes e fornecedores — por telefone, não por email (o email pode estar comprometido).

RGPD: Se há indícios de acesso a dados pessoais, a CNPD tem de ser notificada em 72 horas. Não esperes para ter a certeza — notifica com a informação que tens. Melhor rever depois do que perder o prazo.

Minuto 30-60 — Preservar provas

  • Fotografa o ecrã com as notas de resgate (telemóvel).
  • Guarda as extensões dos ficheiros encriptados e exemplos em local seguro (disco externo limpo).
  • Exporta logs do Windows Event Viewer, antivírus, firewall e servidor de email.
  • Não formates nada enquanto o técnico não chegar.

Se houver seguro cibernético, notifica a seguradora antes de qualquer intervenção. Muitas apólices cobrem investigação forense mas exigem contacto prévio.

O que nunca fazer

  • Nunca pagar o resgate sem análise forense prévia. Mesmo que a tentação seja grande: não há garantia de que desencriptam, alimenta o ecossistema criminoso e, em muitos países, é ilegal sem autorização.
  • Nunca reinstalar um posto crítico antes de preservar imagem do disco. Perde-se capacidade de análise e recuperação parcial.
  • Nunca ligar postos infectados à Internet para “testar antivírus”. Mais danos.
  • Nunca usar um backup antigo sem validar que não está comprometido. Há ataques que ficam dormentes para infectar backups.

O que previne

O momento para prevenir ransomware é antes de acontecer. Três pilares:

  1. Antivírus empresarial com EDR — o ESET Protect detecta comportamento suspeito (encriptação em massa) antes de completar. Muito melhor que antivírus domésticos gratuitos.
  2. Backups 3-2-1 — três cópias, em dois tipos de suporte, uma off-site (ou off-line). Testa restauros.
  3. Gestão de patches — Windows e aplicações actualizadas fecham as portas que o ransomware mais usa.

Estes três pontos cobrem a maior parte dos vectores de entrada que vemos em incidentes reais.

O que a RM faz em incidente

  • Resposta prioritária para clientes com pack de horas activo — ao telefone, imediata.
  • Diagnóstico do âmbito — quantas máquinas, que versões, que backups válidos.
  • Contenção e limpeza — isolamento e recuperação dos sistemas críticos primeiro (POS, email, ERP).
  • Restauro a partir de backup válido — sem apagar evidência forense.
  • Relatório para seguradora e, se aplicável, para a CNPD.

Em incidentes graves coordenamos com parceiros forenses especializados e representamos-te tecnicamente perante eles.

Se está a acontecer agora

Ligar à RM — 252 648 447 ou pedir apoio imediato.

Links relacionados:

Recursos oficiais:

Queres discutir como isto se aplica ao teu negócio?

Primeira análise sem compromisso. Respondemos com brevidade.

Pedir proposta Voltar ao blog