Tipos de Ransomware: Crypto, Locker, Double Extortion e Como se Proteger
Ransomware não é uma ameaça única — são pelo menos 6 tipos diferentes, cada um com tática, alvo e nível de destruição distintos. Crypto ransomware criptografa; locker bloqueia; double extortion rouba e vaza. Conheça todos os tipos e a defesa que funciona contra cada um.
Pontos-Chave deste Artigo
- Existem 6 tipos de ransomware — cada um com tática e nível de destruição diferentes
- Double extortion é o mais perigoso: criptografa e ameaça vazar dados
- RaaS transformou ransomware em negócio — qualquer pessoa pode lançar um ataque por R$ 200
- Backup imutável é a defesa que funciona contra a criptografia; prevenção é essencial contra o vazamento
Os 6 Tipos de Ransomware
1. Crypto Ransomware (Criptografia de Arquivos)
O tipo mais clássico e mais comum. Criptografa arquivos no disco da vítima usando algoritmos fortes (AES-256, RSA-2048) e exige pagamento em criptomoeda pela chave de descriptografia.
Como funciona:
- Malware é executado (via phishing, RDP, vulnerabilidade)
- Varre discos locais, unidades de rede (SMB/NFS) e NAS acessíveis
- Criptografa arquivos — documentos, planilhas, bancos de dados, imagens
- Deleta snapshots VSS (
vssadmin delete shadows /all /quiet) - Exibe nota de resgate com instruções de pagamento
Exemplos: WannaCry, CryptoLocker, Ryuk, LockBit (modo crypto)
Defesa principal: backup imutável offsite — restaurar sem pagar resgate
2. Locker Ransomware (Bloqueio de Sistema)
Diferente do crypto, o locker não criptografa arquivos — bloqueia o acesso ao sistema inteiro. A tela de login é substituída por uma tela de resgate. Os dados continuam intactos, mas o usuário não consegue acessá-los.
Como funciona:
- Modifica o boot do sistema ou substitui a tela de login
- Trava teclado e mouse (em casos mais agressivos)
- Exibe tela de resgate em tela cheia, sem opção de fechar
Exemplos: WinLocker, Police Locker (fingia ser polícia), Reveton
Defesa: bare-metal recovery — restaurar o servidor inteiro resolve o bloqueio. Geralmente menos destrutivo que crypto — dados podem ser recuperados montando o disco em outro sistema.
3. Double Extortion (Dupla Extorsão)
O tipo mais perigoso para empresas. Combina criptografia com exfiltração de dados. O atacante primeiro rouba os dados sensíveis (clientes, financeiro, contratos) e depois criptografa. O resgate é duplo:
- Pague para descriptografar — ou reconstrua do backup
- Pague para não vazar — os dados roubados serão publicados na dark web
Mesmo empresas com backup imutável enfrentam pressão, porque restaurar resolve a criptografia mas não resolve o vazamento. Por isso a prevenção é tão crítica quanto o backup.
Exemplos: LockBit 3.0, BlackCat/ALPHV, Clop, Hive, Royal
Defesa: backup imutável (contra criptografia) + prevenção (segmentação de rede, MFA, monitoramento, DLP) contra exfiltração
4. RaaS (Ransomware as a Service)
Não é exatamente um tipo técnico de ransomware — é um modelo de negócio. Desenvolvedores criam o ransomware e "vendem" para afiliados que executam os ataques. O lucro é dividido (70-80% para o afiliado, 20-30% para o desenvolvedor).
O RaaS democratizou o cibercrime. Antes, lançar um ataque de ransomware exigia habilidade técnica avançada. Hoje, um criminoso sem conhecimento técnico pode comprar um kit de ataque por R$ 200 na dark web, com painel de controle, suporte técnico e negociador de resgate incluso.
| Papel | O Que Faz | Ganho |
|---|---|---|
| Desenvolvedor | Cria o ransomware, mantém infraestrutura (C2, leak site) | 20-30% do resgate |
| Afiliado | Executa o ataque (phishing, exploits, acesso inicial) | 70-80% do resgate |
| IAB (Initial Access Broker) | Vende acessos comprometidos (RDP, VPN, credenciais) | R$ 500-50.000 por acesso |
Exemplos: LockBit, BlackCat/ALPHV, Black Basta, Akira
5. Wiper (Destruidor)
Se disfarça de ransomware, exibe nota de resgate, mas não tem intenção de devolver os dados. O objetivo é destruição pura — mesmo pagando, não há chave de descriptografia. Os dados são corrompidos permanentemente.
Wipers são geralmente usados em ataques patrocinados por governos (geopolíticos) ou como vingança. Mas algumas variantes criminosas usam wiper quando o resgate não é pago — destruindo os dados como retaliação.
Exemplos: NotPetya (ataque à Ucrânia, US$ 10 bilhões em danos globais), HermeticWiper, WhisperGate
Defesa: backup imutável offsite é a única defesa contra wiper. Sem backup, os dados são irrecuperáveis.
6. Mobile Ransomware
Ataca smartphones e tablets. Geralmente do tipo locker (bloqueia tela) ou crypto (criptografa fotos, contatos, WhatsApp). Menos impactante para empresas (dados críticos raramente ficam apenas no celular), mas perigoso para executivos com dados sensíveis no dispositivo.
Defesa: MDM (Mobile Device Management), backup de WhatsApp e dados corporativos, apps apenas de lojas oficiais.
Comparativo dos Tipos de Ransomware
| Tipo | O Que Faz | Dados Recuperáveis? | Backup Resolve? | Nível de Ameaça (Empresa) |
|---|---|---|---|---|
| Crypto | Criptografa arquivos | Sim (com chave ou backup) | Sim | Alto |
| Locker | Bloqueia acesso ao sistema | Sim (dados intactos) | Sim | Médio |
| Double Extortion | Criptografa + rouba dados | Criptografia: sim. Vazamento: não | Parcial | Crítico |
| RaaS | Qualquer um dos acima (modelo de negócio) | Varia | Varia | Crítico (escala) |
| Wiper | Destrói dados permanentemente | Não (sem backup) | Sim (única defesa) | Crítico |
| Mobile | Bloqueia/criptografa celular | Geralmente sim | Sim | Baixo-Médio |
Vetores de Entrada: Como o Ransomware Chega
| Vetor | % dos Ataques | Como Funciona | Prevenção |
|---|---|---|---|
| Phishing (e-mail) | 67% | Anexos maliciosos (.doc com macro, .zip), links para sites falsos | Treinamento da equipe, filtro de e-mail, sandbox de anexos |
| RDP exposto | 16% | Porta 3389 acessível na internet, força bruta de credenciais | VPN obrigatória, MFA, desabilitar RDP público |
| Vulnerabilidades | 12% | Sistemas desatualizados, exploits conhecidos (ProxyShell, Log4Shell) | Patching regular, WAF, gestão de vulnerabilidades |
| Supply chain | 5% | Software legítimo comprometido (SolarWinds, Kaseya, MOVEit) | Verificação de fornecedores, segmentação, monitoramento |
A Defesa Completa: Camadas de Proteção
Nenhuma medida isolada protege contra todos os tipos de ransomware. A defesa eficaz é em camadas:
| Camada | O Que Faz | Protege Contra |
|---|---|---|
| 1. Prevenção | MFA, patching, treinamento, segmentação de rede | Evitar que o ransomware entre |
| 2. Detecção | EDR, SIEM, monitoramento de anomalias | Detectar o ataque antes de causar dano total |
| 3. Backup imutável | Cópias offsite que o atacante não pode deletar | Restaurar sem pagar resgate (crypto, wiper) |
| 4. Failover (DRaaS) | Servidor na nuvem para ativação em minutos | Minimizar downtime |
| 5. Resposta a incidentes | Plano documentado, equipe treinada, comunicação | Conter o dano e recuperar rapidamente |
A DataBackup cobre as camadas 3 e 4: backup imutável com Object Lock garante que seus dados estão protegidos contra crypto e wiper. DRaaS com Run Direct ativa servidores na nuvem em minutos. Criptografia AES-256 protege os backups em trânsito e repouso. Tudo armazenado em data center Tier III+ no Brasil. Teste grátis 14 dias.