Tipos de Ransomware: Crypto, Locker, Double Extortion e Como se Proteger
Ransomware não é uma ameaça única — são pelo menos 6 tipos diferentes, cada um com tática, alvo e nível de destruição distintos. Crypto ransomware criptografa; locker bloqueia; double extortion rouba e vaza. Conheça todos os tipos e a defesa que funciona contra cada um.
Pontos-Chave deste Artigo
- Existem 6 tipos de ransomware — cada um com tática e nível de destruição diferentes
- Double extortion é o mais perigoso: criptografa e ameaça vazar dados
- RaaS transformou ransomware em negócio — qualquer pessoa pode lançar um ataque por R$ 200
- Backup imutável é a defesa que funciona contra a criptografia; prevenção é essencial contra o vazamento
Os 6 Tipos de Ransomware
1. Crypto Ransomware (Criptografia de Arquivos)
O tipo mais clássico e mais comum. Criptografa arquivos no disco da vítima usando algoritmos fortes (AES-256, RSA-2048) e exige pagamento em criptomoeda pela chave de descriptografia.
Como funciona:
- Malware é executado (via phishing, RDP, vulnerabilidade)
- Varre discos locais, unidades de rede (SMB/NFS) e NAS acessíveis
- Criptografa arquivos — documentos, planilhas, bancos de dados, imagens
- Deleta snapshots VSS (
vssadmin delete shadows /all /quiet) - Exibe nota de resgate com instruções de pagamento
Exemplos: WannaCry, CryptoLocker, Ryuk, LockBit (modo crypto)
Defesa principal: backup imutável offsite — restaurar sem pagar resgate
2. Locker Ransomware (Bloqueio de Sistema)
Diferente do crypto, o locker não criptografa arquivos — bloqueia o acesso ao sistema inteiro. A tela de login é substituída por uma tela de resgate. Os dados continuam intactos, mas o usuário não consegue acessá-los.
Como funciona:
- Modifica o boot do sistema ou substitui a tela de login
- Trava teclado e mouse (em casos mais agressivos)
- Exibe tela de resgate em tela cheia, sem opção de fechar
Exemplos: WinLocker, Police Locker (fingia ser polícia), Reveton
Defesa: bare-metal recovery — restaurar o servidor inteiro resolve o bloqueio. Geralmente menos destrutivo que crypto — dados podem ser recuperados montando o disco em outro sistema.
3. Double Extortion (Dupla Extorsão)
O tipo mais perigoso para empresas. Combina criptografia com exfiltração de dados. O atacante primeiro rouba os dados sensíveis (clientes, financeiro, contratos) e depois criptografa. O resgate é duplo:
- Pague para descriptografar — ou reconstrua do backup
- Pague para não vazar — os dados roubados serão publicados na dark web
Mesmo empresas com backup imutável enfrentam pressão, porque restaurar resolve a criptografia mas não resolve o vazamento. Por isso a prevenção é tão crítica quanto o backup.
Exemplos: LockBit 3.0, BlackCat/ALPHV, Clop, Hive, Royal
Defesa: backup imutável (contra criptografia) + prevenção (segmentação de rede, MFA, monitoramento, DLP) contra exfiltração
4. RaaS (Ransomware as a Service)
Não é exatamente um tipo técnico de ransomware — é um modelo de negócio. Desenvolvedores criam o ransomware e "vendem" para afiliados que executam os ataques. O lucro é dividido (70-80% para o afiliado, 20-30% para o desenvolvedor).
O RaaS democratizou o cibercrime. Antes, lançar um ataque de ransomware exigia habilidade técnica avançada. Hoje, um criminoso sem conhecimento técnico pode comprar um kit de ataque por R$ 200 na dark web, com painel de controle, suporte técnico e negociador de resgate incluso.
| Papel | O Que Faz | Ganho |
|---|---|---|
| Desenvolvedor | Cria o ransomware, mantém infraestrutura (C2, leak site) | 20-30% do resgate |
| Afiliado | Executa o ataque (phishing, exploits, acesso inicial) | 70-80% do resgate |
| IAB (Initial Access Broker) | Vende acessos comprometidos (RDP, VPN, credenciais) | R$ 500-50.000 por acesso |
Exemplos: LockBit, BlackCat/ALPHV, Black Basta, Akira
5. Wiper (Destruidor)
Se disfarça de ransomware, exibe nota de resgate, mas não tem intenção de devolver os dados. O objetivo é destruição pura — mesmo pagando, não há chave de descriptografia. Os dados são corrompidos permanentemente.
Wipers são geralmente usados em ataques patrocinados por governos (geopolíticos) ou como vingança. Mas algumas variantes criminosas usam wiper quando o resgate não é pago — destruindo os dados como retaliação.
Exemplos: NotPetya (ataque à Ucrânia, US$ 10 bilhões em danos globais), HermeticWiper, WhisperGate
Defesa: backup imutável offsite é a única defesa contra wiper. Sem backup, os dados são irrecuperáveis.
6. Mobile Ransomware
Ataca smartphones e tablets. Geralmente do tipo locker (bloqueia tela) ou crypto (criptografa fotos, contatos, WhatsApp). Menos impactante para empresas (dados críticos raramente ficam apenas no celular), mas perigoso para executivos com dados sensíveis no dispositivo.
Defesa: MDM (Mobile Device Management), backup de WhatsApp e dados corporativos, apps apenas de lojas oficiais.
Comparativo dos Tipos de Ransomware
| Tipo | O Que Faz | Dados Recuperáveis? | Backup Resolve? | Nível de Ameaça (Empresa) |
|---|---|---|---|---|
| Crypto | Criptografa arquivos | Sim (com chave ou backup) | Sim | Alto |
| Locker | Bloqueia acesso ao sistema | Sim (dados intactos) | Sim | Médio |
| Double Extortion | Criptografa + rouba dados | Criptografia: sim. Vazamento: não | Parcial | Crítico |
| RaaS | Qualquer um dos acima (modelo de negócio) | Varia | Varia | Crítico (escala) |
| Wiper | Destrói dados permanentemente | Não (sem backup) | Sim (única defesa) | Crítico |
| Mobile | Bloqueia/criptografa celular | Geralmente sim | Sim | Baixo-Médio |
Principais Famílias de Ransomware: Comparativo Detalhado
Conhecer as famílias de ransomware mais ativas ajuda a entender as táticas específicas usadas contra empresas brasileiras e a calibrar as defesas de acordo. A tabela abaixo compara os grupos mais relevantes em 2024-2026.
| Família | Tipo | Modelo | Vetor Principal | Alvo Preferido | Resgate Médio | Ativa no Brasil? |
|---|---|---|---|---|---|---|
| LockBit 3.0 | Double Extortion | RaaS (afiliados) | RDP exposto, VPN comprometida | Empresas de todos os portes | US$ 50k — 50M | Sim (líder) |
| BlackCat/ALPHV | Double Extortion | RaaS (afiliados selecionados) | Credenciais roubadas, exploits | Saúde, infraestrutura crítica | US$ 100k — 35M | Sim |
| Cl0p | Double Extortion | RaaS | Vulnerabilidades zero-day (MOVEit, GoAnywhere) | Empresas com software vulnerável | US$ 500k — 20M | Sim (via supply chain) |
| Black Basta | Double Extortion | Grupo fechado (ex-Conti) | Phishing (Qakbot), VPN | Indústria, serviços | US$ 100k — 10M | Sim |
| Akira | Double Extortion | RaaS | VPN Cisco sem MFA | PMEs, educação | US$ 50k — 5M | Sim (crescendo) |
| Play | Double Extortion | Grupo fechado | Exchange (ProxyNotShell), Fortinet | Governo, telecom | US$ 100k — 15M | Sim |
| Royal/BlackSuit | Double Extortion | Grupo fechado (ex-Conti) | Phishing callback, RDP | Saúde, educação | US$ 250k — 25M | Moderada |
| Medusa | Double Extortion | RaaS | RDP, phishing | Governo, educação | US$ 100k — 8M | Sim |
Táticas Específicas por Família
- LockBit 3.0: velocidade de criptografia extremamente alta (varre rede em menos de 20 minutos). Oferece programa de bug bounty para criminosos que encontram vulnerabilidades no ransomware. Painel de afiliados sofisticado com métricas de ataque
- BlackCat/ALPHV: primeiro ransomware escrito em Rust (difícil de analisar, multiplataforma). Ataca Windows e Linux com o mesmo binário. Foco em comprometer credenciais de backup antes de criptografar
- Cl0p: não depende de phishing — explora vulnerabilidades zero-day em software empresarial (MOVEit Transfer causou 2.000+ vítimas em 2023). Exfiltra dados massivos antes de qualquer criptografia
- Akira: foco em VPNs Cisco ASA e AnyConnect sem MFA. Particularmente perigoso para PMEs brasileiras que usam VPN Cisco sem autenticação de dois fatores
- Black Basta: usa engenharia social via Microsoft Teams e chamadas telefônicas para enganar funcionários. Tempo médio de permanência na rede antes do ataque: 12 dias
Vetores de Entrada: Como o Ransomware Chega
| Vetor | % dos Ataques | Como Funciona | Prevenção |
|---|---|---|---|
| Phishing (e-mail) | 67% | Anexos maliciosos (.doc com macro, .zip), links para sites falsos | Treinamento da equipe, filtro de e-mail, sandbox de anexos |
| RDP exposto | 16% | Porta 3389 acessível na internet, força bruta de credenciais | VPN obrigatória, MFA, desabilitar RDP público |
| Vulnerabilidades | 12% | Sistemas desatualizados, exploits conhecidos (ProxyShell, Log4Shell) | Patching regular, WAF, gestão de vulnerabilidades |
| Supply chain | 5% | Software legítimo comprometido (SolarWinds, Kaseya, MOVEit) | Verificação de fornecedores, segmentação, monitoramento |
Detalhamento dos Vetores de Ataque
Cada vetor de entrada requer uma camada de defesa específica. Abaixo, os detalhes de como cada vetor opera e como bloqueá-lo:
| Vetor | Técnicas Específicas Usadas | Ferramentas do Atacante | Defesa Recomendada | Custo da Defesa |
|---|---|---|---|---|
| Phishing | Spear phishing com dados vazados, BEC (Business Email Compromise), anexos com macro VBA, HTML smuggling | GoPhish, Evilginx, kits de phishing prontos | Treinamento trimestral, sandbox de e-mail (Proofpoint, Mimecast), DMARC/SPF/DKIM | Baixo-Moderado |
| RDP/VPN | Força bruta de credenciais, credenciais compradas em IAB, VPN sem MFA, RDP na porta padrão | Shodan/Censys para scan, Hydra para brute force | MFA obrigatório, VPN com certificado, fechar porta 3389, fail2ban | Baixo |
| Vulnerabilidades | Exploits públicos para CVEs conhecidos, zero-day em software popular (Exchange, Fortinet, Citrix) | Metasploit, Cobalt Strike, exploits comprados | Patching em 48h para CVEs críticos, WAF, segmentação de DMZ | Moderado |
| Supply chain | Backdoor em updates de software, comprometimento de MSP, dependências open-source trojanizadas | Comprometimento de build pipeline, typosquatting | Verificação de integridade de software, segmentação, monitoramento de anomalias | Alto |
Defesas por Tipo de Ransomware: Mapa Completo
Cada tipo de ransomware exige uma combinação diferente de defesas. A tabela abaixo mapeia as camadas de proteção mais eficazes para cada tipo:
| Defesa | Crypto | Locker | Double Extortion | RaaS | Wiper | Mobile |
|---|---|---|---|---|---|---|
| Backup imutável | Essencial | Útil | Essencial (contra cripto) | Essencial | Única defesa | Útil |
| MFA | Previne acesso | Previne acesso | Previne acesso | Previne acesso | Previne acesso | Previne acesso |
| Segmentação de rede | Limita propagação | Limitado | Limita exfiltração | Limita propagação | Limita propagação | N/A |
| EDR/XDR | Detecta e bloqueia | Detecta e bloqueia | Detecta exfiltração | Detecta e bloqueia | Detecta e bloqueia | Limitado |
| DLP (Data Loss Prevention) | Irrelevante | Irrelevante | Essencial (contra vazamento) | Útil | Irrelevante | Útil |
| Patching | Fecha vetores | Fecha vetores | Fecha vetores | Fecha vetores | Fecha vetores | Fecha vetores |
| Treinamento anti-phishing | Previne 67% dos vetores | Previne 67% | Previne 67% | Previne 67% | Limitado | Útil |
| DRaaS | Reduz downtime | Reduz downtime | Reduz downtime | Reduz downtime | Reduz downtime | N/A |
| MDM | N/A | N/A | N/A | N/A | N/A | Essencial |
A conclusão é clara: não existe uma defesa única contra todos os tipos. A proteção eficaz é em camadas — e o backup imutável é a camada mais universalmente eficaz, protegendo contra crypto, wiper e a parte de criptografia do double extortion.
Estatísticas de Ransomware no Brasil: 2024-2026
O cenário de ransomware no Brasil evoluiu significativamente nos últimos anos. Os dados abaixo consolidam informações de relatórios públicos de segurança:
| Métrica | 2024 | 2025 | 2026 (projeção) | Tendência |
|---|---|---|---|---|
| Ataques reportados no Brasil | ~103.000 | ~144.000 | ~180.000+ | Crescimento de 40%+ ao ano |
| Resgate médio global | US$ 1,5 milhão | US$ 2,0 milhões | US$ 2,5 milhões | Alta constante |
| Custo médio de recuperação | US$ 4,5 milhões | US$ 4,88 milhões | US$ 5,2 milhões | Alta constante |
| % com double extortion | 70% | 80% | 85%+ | Padrão dominante |
| % de PMEs atacadas | 43% | 48% | 50%+ | PMEs cada vez mais visadas |
| Tempo médio de permanência na rede | 21 dias | 15 dias | 10 dias | Ataques mais rápidos |
| % que recuperou 100% pagando | 10% | 8% | ~7% | Pagar compensa cada vez menos |
Setores Mais Atacados no Brasil
- Saúde — hospitais e laboratórios são alvos preferenciais pela criticidade operacional e dados sensíveis de pacientes. Ataques a hospitais brasileiros cresceram 65% em 2026
- Governo e setor público — prefeituras, tribunais e órgãos estaduais sofrem ataques frequentes por infraestrutura defasada e orçamento limitado para segurança
- Educação — universidades com redes amplas, muitos dispositivos e perímetro poroso. Ransomware Akira e Medusa focam neste setor
- Indústria — convergência IT/OT expande a superfície de ataque. Parada de linha de produção por ransomware pode custar R$ 500.000/dia
- Serviços financeiros e fintechs — alto valor dos dados atrai grupos sofisticados como BlackCat e LockBit
- Varejo e e-commerce — dados de pagamento e informações pessoais em volume, especialmente durante datas como Black Friday
A Defesa Completa: Camadas de Proteção
Nenhuma medida isolada protege contra todos os tipos de ransomware. A defesa eficaz é em camadas:
| Camada | O Que Faz | Protege Contra |
|---|---|---|
| 1. Prevenção | MFA, patching, treinamento, segmentação de rede | Evitar que o ransomware entre |
| 2. Detecção | EDR, SIEM, monitoramento de anomalias | Detectar o ataque antes de causar dano total |
| 3. Backup imutável | Cópias offsite que o atacante não pode deletar | Restaurar sem pagar resgate (crypto, wiper) |
| 4. Failover (DRaaS) | Servidor na nuvem para ativação em minutos | Minimizar downtime |
| 5. Resposta a incidentes | Plano documentado, equipe treinada, comunicação | Conter o dano e recuperar rapidamente |
Checklist de Proteção Anti-Ransomware por Tipo
Use esta checklist para avaliar sua postura de segurança contra cada tipo de ransomware:
Contra Crypto Ransomware
- Backup imutável implementado com Object Lock?
- Backups em local separado da rede de produção?
- Testes de restauração realizados mensalmente?
- Regra 3-2-1-1-0 atendida?
- Snapshots VSS protegidos contra exclusão não autorizada?
Contra Double Extortion
- Todas as defesas acima, mais:
- Segmentação de rede implementada (dados sensíveis isolados)?
- DLP (Data Loss Prevention) ativo para detectar exfiltração?
- Monitoramento de tráfego de saída anômalo (uploads massivos)?
- Plano de resposta LGPD documentado para caso de vazamento?
- Criptografia de dados sensíveis em repouso?
Contra RaaS (Volume de Ataques)
- MFA habilitado em todos os acessos remotos (VPN, RDP, e-mail)?
- Credenciais de backup separadas das credenciais de domínio?
- RDP não acessível diretamente pela internet?
- Treinamento anti-phishing realizado trimestralmente?
- Patching de vulnerabilidades críticas em até 48h?
Contra Wiper
- Backup air-gapped ou com imutabilidade Compliance-mode?
- Pelo menos uma cópia totalmente offline (fitas LTO, disco removível)?
- DRaaS configurado para failover rápido?
Indicadores de Detecção: Como Identificar Cada Tipo de Ransomware
Detectar um ataque de ransomware nos primeiros minutos pode ser a diferença entre perder alguns arquivos e perder toda a infraestrutura. Cada tipo de ransomware deixa sinais distintos que, se monitorados, permitem uma resposta rápida antes que o dano se torne irreversível.
| Tipo de Ransomware | Indicadores Iniciais (Primeiros Minutos) | Indicadores de Progressão (30-60 min) | Ferramenta de Detecção |
|---|---|---|---|
| Crypto | Extensões de arquivo alteradas (.locked, .crypt), CPU a 100% sem explicação, eventos VSS deletados | Nota de resgate em pastas, múltiplos arquivos inacessíveis, compartilhamentos de rede inacessíveis | EDR com detecção de criptografia em massa, SIEM com alerta de VSS deletion |
| Locker | Tela de login substituída, teclado/mouse não responsivos, boot alterado | Múltiplas estações com tela de bloqueio, impossibilidade de login remoto | Monitoramento de integridade de boot (Secure Boot, TPM), MDM para endpoints |
| Double Extortion | Tráfego de saída anômalo (uploads massivos para IPs desconhecidos), uso incomum de ferramentas como WinSCP, Rclone ou MEGASync | Exfiltração concluída + início de criptografia (sinais de crypto ransomware) | DLP com monitoramento de tráfego, firewall com inspeção de saída, UEBA |
| RaaS | Presença de ferramentas de acesso remoto não autorizadas (Cobalt Strike, AnyDesk, Splashtop), movimentação lateral via PsExec | Varia conforme o payload (crypto ou double extortion) | EDR/XDR com detecção de LOLBins, monitoramento de ferramentas de administração remota |
| Wiper | Tabela de partição corrompida, MBR/GPT sobrescrito, arquivos tornando-se irrecuperáveis (não criptografados, mas corrompidos) | Servidores não inicializam, dados irrecuperáveis mesmo com chave | Monitoramento de integridade de disco, alertas de corrupção de filesystem |
| Mobile | Tela de bloqueio persistente no dispositivo, apps não abrindo, mensagens de resgate no navegador | Fotos e contatos inacessíveis, pedido de pagamento via criptomoeda | MDM com detecção de anomalia, Google Play Protect / Apple App Attest |
Resposta a Incidentes: Ação Rápida por Tipo de Ransomware
Quando o ataque é confirmado, cada minuto conta. O plano de resposta deve ser diferente conforme o tipo de ransomware identificado. A tabela abaixo é uma referência rápida para equipes de TI e segurança — imprima e mantenha acessível no NOC ou sala de servidores.
| Etapa | Crypto Ransomware | Locker Ransomware | Double Extortion | Wiper |
|---|---|---|---|---|
| 1. Contenção (0-15 min) | Isolar máquina da rede (desconectar cabo/Wi-Fi). NÃO desligar — preservar evidências em memória | Isolar máquina. Tentar boot via USB/PXE para acessar dados no disco | Isolar TODA a rede se possível. Bloquear tráfego de saída no firewall imediatamente | Isolar máquina. Não tentar reparar — o dano é intencional e irreversível |
| 2. Avaliação (15-60 min) | Verificar extensão da criptografia. Checar se backups estão intactos. Identificar variante (ID Ransomware) | Verificar se dados no disco estão intactos (montar em outro sistema). Geralmente são | Avaliar quais dados podem ter sido exfiltrados. Checar logs de tráfego de saída das últimas 24-72h | Verificar se backup imutável offsite está intacto. É a única esperança de recuperação |
| 3. Restauração | Restaurar do backup imutável. Não pagar resgate | Bare-metal recovery ou reinstalação do SO + restauração de dados | Restaurar do backup (resolve criptografia). Avaliar dano reputacional e ações de comunicação | Restaurar do backup offsite. DRaaS para failover rápido enquanto reconstrói servidores |
| 4. Ações Pós-Incidente | Identificar vetor de entrada. Corrigir vulnerabilidade. Fortalecer MFA e segmentação | Atualizar SO. Implementar Secure Boot. Revisar políticas de senha | Notificar ANPD se dados pessoais foram exfiltrados (LGPD). Comunicar clientes afetados | Forensics para determinar se foi ataque direcionado. Revisar toda a segurança de infraestrutura |
Regra de ouro: nunca pague o resgate. 80% das empresas que pagam são atacadas novamente. A melhor resposta é ter um backup imutável testado e pronto para restauração. Com a proteção contra ransomware da DataBackup, seus dados ficam em storage offsite com Object Lock — inacessível ao atacante mesmo com credenciais de administrador.
A DataBackup cobre as camadas 3 e 4: backup imutável com Object Lock garante que seus dados estão protegidos contra crypto e wiper. DRaaS com Run Direct ativa servidores na nuvem em minutos. Criptografia AES-256 protege os backups em trânsito e repouso. Tudo armazenado em data center Tier III+ no Brasil. Teste grátis 14 dias.
Crypto, wiper, locker ou double extortion — nenhum ransomware consegue destruir seus dados na DataBackup. Backup imutável com Object Lock e DRaaS para recuperação em minutos. Teste 14 dias grátis.
Proteger Minha Empresa Falar com Especialista