O que é ransomware?

Como funciona o ransomware

Para ter sucesso, o ransomware precisa obter acesso a um sistema alvo, criptografar os arquivos e exigir um resgate da vítima.
Embora os detalhes de implementação variem de uma variante de ransomware para outra, todas compartilham os mesmos três estágios principais

• Passo 1. Vetores de infecção e distribuição

O ransomware, como qualquer malware, pode obter acesso aos sistemas de uma organização de diversas maneiras. No entanto, os operadores de ransomware tendem a preferir alguns vetores de infecção específicos.

Um deles são os e-mails de phishing. Um e-mail malicioso pode conter um link para um site que hospeda um download malicioso ou um anexo que possui funcionalidade de download integrada. Se o destinatário do e-mail cair no phishing, o ransomware será baixado e executado em seu computador.

Outro vetor popular de infecção por ransomware aproveita serviços como o Remote Desktop Protocol (RDP). Com o RDP, um invasor que roubou ou adivinhou as credenciais de login de um funcionário pode usá-las para autenticar e acessar remotamente um computador na rede corporativa. Com esse acesso, o invasor pode baixar diretamente o malware e executá-lo na máquina sob seu controle.

Outros podem tentar infectar sistemas diretamente, como o WannaCry explorou a vulnerabilidade EternalBlue. A maioria das variantes de ransomware possui múltiplos vetores de infecção.

In 2025, ransomware attacks frequently leverage vulnerabilities within an organization’s third-party suppliers, recognizing them as a weaker entry point. This often begins with compromised credentials or unpatched software in a vendor’s system, allowing attackers to gain initial access. From there, the threat actors exploit the trusted connection between the supplier and the target organization to move laterally and deploy ransomware, bypassing the main company’s direct defenses.  

• Passo 2. Criptografia de dados

 Depois que o ransomware obtém acesso a um sistema, ele pode começar a criptografar seus arquivos. Como a funcionalidade de criptografia está integrada em um sistema operacional, isso envolve simplesmente acessar arquivos, criptografá-los com uma chave controlada pelo invasor e substituir os originais pelas versões criptografadas. A maioria das variantes de ransomware são cautelosas na seleção de arquivos a serem criptografados para garantir a estabilidade do sistema. Algumas variantes também tomarão medidas para excluir cópias de backup e sombra de arquivos para dificultar a recuperação sem a chave de descriptografia.

• Etapa 3. Exigência de resgate

Assim que a criptografia do arquivo for concluída, o ransomware estará preparado para exigir um resgate. Diferentes variantes de ransomware implementam isso de várias maneiras, mas não é incomum ter um fundo de exibição alterado para uma nota de resgate ou arquivos de texto colocados em cada diretório criptografado que contém a nota de resgate. Normalmente, essas notas exigem uma determinada quantia de criptomoeda em troca do acesso aos arquivos da vítima. Se o resgate for pago, o operador do ransomware fornecerá uma cópia da chave privada usada para proteger a chave de criptografia simétrica ou uma cópia da própria chave de criptografia simétrica. Essas informações podem ser inseridas em um programa descriptografador (também fornecido pelo cibercriminoso) que pode usá-las para reverter a criptografia e restaurar o acesso aos arquivos do usuário.

Embora essas três etapas principais existam em todas as variantes de ransomware, diferentes ransomwares podem incluir diferentes implementações ou etapas adicionais. Por exemplo, variantes de ransomware como o Maze realizam verificação de arquivos, informações de registro e roubo de dados antes da criptografia de dados, e o ransomware WannaCry verifica outros dispositivos vulneráveis para infectar e criptografar.

Variantes populares de ransomware

Existem dezenas de variantes de ransomware, cada uma com suas características únicas. No entanto, alguns grupos de ransomware têm sido mais prolíficos e bem-sucedidos do que outros, fazendo com que se destaquem da multidão.

1.Ransomhub 

RansomHub, a prominent Ransomware-as-a-Service (RaaS) group that emerged in February 2024, quickly rose to prominence by attracting affiliates from disrupted groups like ALPHV and LockBit. Despite a low payment rate, their high affiliate profit-sharing model (90%) drove a surge in attacks, especially in July and August 2024, primarily targeting U.S. and Brazilian businesses. RansomHub’s ransomware, written in Golang and C++, is known for its fast encryption, use of EDRKillShifter, and recent implementation of remote encryption. However, on April 1, 2025, RansomHub’s operations ceased, with affiliates reportedly shifting to Qilin and DragonForce claiming control, marking its demise in the ransomware landscape. 

2.Akira

Akira, a ransomware variant first identified in Q1 2023, targets both Windows and Linux systems using ChaCha2008 encryption. It infiltrates systems via phishing emails and VPN vulnerabilities, then employs tactics like LOLBins and credential dumping to evade detection and gain privileges. Akira utilizes intermittent encryption to avoid security solutions and deletes shadow copies to hinder recovery. The group also performs extortion-only attacks, stealing data and demanding ransom without encryption. Akira demands large ransoms, primarily targeting large enterprises in North America, Europe, and Australia, particularly in education, finance, manufacturing, and healthcare. To mitigate Akira attacks, organizations should implement cybersecurity awareness training, anti-ransomware solutions, regular data backups, patch management, strong user authentication (MFA), and network segmentation.

3.Play

The Play Ransomware Group, also known as Play or Playcrypt, has emerged as a significant cybercriminal entity since 2022, successfully compromising over 300 organizations globally, including high-profile targets like Microsoft Cuba, the City of Oakland, and the Swiss government. This group employs unique tactics such as intermittent encryption, which encrypts only selective parts of files to evade detection, and double extortion, where they not only encrypt data but also exfiltrate it and threaten its public release if a ransom is not paid. Play leverages vulnerabilities in FortiOS and exposed RDP servers for initial access, subsequently distributing ransomware payloads via Group Policy Objects as scheduled tasks. They operate a Tor blog to publicize their attacks and the data they’ve stolen, pressuring victims into compliance.

4.Clop

Cl0p is a ransomware that is a variant of Cryptomix malware. It’s a sophisticated threat operating as a Ransomware-as-a-Service (RaaS) that primarily targets industries handling sensitive data, such as healthcare and finance. It employs a double extortion strategy, encrypting data and threatening to publicly release stolen information if a ransom is not paid. Cl0p’s distribution methods include phishing emails and the exploitation of zero-day vulnerabilities, making it challenging to prevent. This ransomware is known for its digitally signed code, high ransom demands, use of SDBOT for self-propagation, and a preference for corporate networks. To prevent Cl0p attacks, organizations should implement AI-powered threat detection, constant monitoring, log checking for unusual activity, comprehensive employee training on phishing, quick quarantine of infected systems, and strong authentication protocols. 

5.Qilin

Qilin operates as a prominent Ransomware-as-a-Service (RaaS), utilizing a highly customizable, Rust-based ransomware to target organizations across various sectors globally. This group gained significant traction in April 2025, topping the list for ransomware attacks. Qilin employs a double extortion technique, not only encrypting victims’ files and demanding a ransom for decryption, but also exfiltrating sensitive data and threatening its release even if the ransom is paid. Their sophisticated tactics include tailoring attacks to each victim, modifying filename extensions, terminating specific processes, and offering various encryption modes. Qilin advertises its services on the dark web, showcasing a proprietary data leak site (DLS) with unique company IDs and stolen account details, and reportedly gained affiliates after RansomHub shut down.

6.Ryuk

Ryuk é um exemplo de variante de ransomware muito direcionada. Geralmente é entregue por meio de e-mails de spear phishing ou usando credenciais de usuário comprometidas para fazer login em sistemas corporativos usando o Remote Desktop Protocol (RDP). Depois que o sistema é infectado, o Ryuk criptografa certos tipos de arquivos (evitando aqueles que são cruciais para a operação do computador) e, em seguida, apresenta um pedido de resgate.

Ryuk é conhecido como um dos tipos de ransomware mais caros que existem. Ryuk exige resgates que média acima de US$ 1 milhão. Como resultado, os cibercriminosos por trás do Ryuk concentram-se principalmente em empresas que possuem os recursos necessários para atender às suas demandas.

7. Maze

O Labirinto ransomware é famoso por ser a primeira variante de ransomware a combine criptografia de arquivos e roubo de dados. Quando os alvos começaram a se recusar a pagar resgates, o Maze começou a coletar dados confidenciais dos computadores das vítimas antes de criptografá-los. Se as exigências de resgate não fossem atendidas, esses dados seriam expostos publicamente ou vendidos ao licitante com lance mais alto. O potencial para uma dispendiosa violação de dados foi usado como incentivo adicional para pagar.

O grupo por trás do ransomware Maze encerrou oficialmente suas operações. No entanto, isso não significa que a ameaça do ransomware tenha sido reduzida. Alguns afiliados do Maze passaram a usar o ransomware Egregor, e acredita-se que as variantes Egregor, Maze e Sekhmet tenham uma fonte comum.

8.REvil (Sodinokibi)

O grupo REvil (também conhecido como Sodinokibi) é outra variante de ransomware voltada para grandes organizações.

REvil é uma das famílias de ransomware mais conhecidas da rede. O grupo de ransomware, operado pelo grupo REvil de língua russa desde 2019, foi responsável por muitas grandes violações, como ‘Kaseya’ e ‘JBS’

Ele competiu com Ryuk nos últimos anos pelo título de variante de ransomware mais cara. REvil é conhecido por ter exigiu pagamentos de resgate de US$ 800.000.

Embora o REvil tenha começado como uma variante tradicional de ransomware, ele evoluiu ao longo do tempo-
Eles estão usando a técnica de Dupla Extorsão – para roubar dados de empresas e ao mesmo tempo criptografar os arquivos. Isto significa que, além de exigir um resgate para desencriptar os dados, os atacantes podem ameaçar libertar os dados roubados se um segundo pagamento não for feito.

9. Lockbit

LockBit é um malware de criptografia de dados em operação desde setembro de 2019 e um recente ransomwarecomo serviço (RaaS). Este ransomware foi desenvolvido para criptografar rapidamente grandes organizações, como forma de impedir sua detecção rápida por dispositivos de segurança e equipes de TI/SOC. 

10. DearCry

Em março de 2021, a Microsoft lançou patches para quatro vulnerabilidades nos servidores Microsoft Exchange. DearCry é uma nova variante de ransomware projetada para tirar vantagem de quatro vulnerabilidades recentemente divulgadas no Microsoft Exchange

O ransomware DearCry criptografa certos tipos de arquivos. Assim que a criptografia for concluída, o DearCry mostrará uma mensagem de resgate instruindo os usuários a enviar um e-mail aos operadores de ransomware para saber como descriptografar seus arquivos.

11. Lapsus$

Lapsus$ é uma gangue de ransomware sul-americana que tem sido associada a ataques cibernéticos contra alguns alvos importantes. A gangue cibernética é conhecida por extorsão, ameaçando divulgar informações confidenciais, caso as exigências de suas vítimas não sejam feitas. O grupo se vangloriou de ter invadido Nvidia, Samsung, Ubisoft e outros. O grupo usa código-fonte roubado para disfarçar arquivos de malware como confiáveis.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

• Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
• Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
• Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
• Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
• ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

Como remover ransomware?

Uma mensagem de resgate não é algo que alguém queira ver em seu computador, pois revela que uma infecção por ransomware foi bem-sucedida. Neste ponto, algumas medidas podem ser tomadas para responder a uma infecção ativa de ransomware, e uma organização deve decidir se paga ou não o resgate.

• Como mitigar uma infecção ativa por ransomware

Muitos ataques de ransomware bem-sucedidos só são detectados depois que a criptografia dos dados é concluída e uma nota de resgate é exibida na tela do computador infectado. Neste ponto, os arquivos criptografados provavelmente são irrecuperáveis, mas algumas etapas devem ser tomadas imediatamente:

1. Coloque a máquina em quarentena: algumas variantes de ransomware tentarão se espalhar para unidades conectadas e outras máquinas. Limite a propagação do malware removendo o acesso a outros alvos potenciais.
2. Deixe o computador ligado: a criptografia de arquivos pode tornar o computador instável e desligá-lo pode resultar na perda de memória volátil. Mantenha o computador ligado para maximizar a probabilidade de recuperação.
3. Crie um backup: a descriptografia de arquivos para algumas variantes de ransomware é possível sem pagar o resgate. Faça uma cópia dos arquivos criptografados em mídia removível, caso uma solução seja disponibilizada no futuro ou uma falha na tentativa de descriptografia danifique os arquivos.
4. Verifique se há descriptografadores: verifique com o Projeto No More Ransom se um descriptografador gratuito está disponível. Nesse caso, execute-o em uma cópia dos dados criptografados para ver se consegue restaurar os arquivos.
5. Peça ajuda: Às vezes, os computadores armazenam cópias de backup dos arquivos armazenados neles. Um especialista forense digital poderá recuperar essas cópias se elas não tiverem sido excluídas pelo malware.
6. Limpar e restaurar: restaure a máquina a partir de um backup limpo ou instalação do sistema operacional. Isso garante que o malware seja completamente removido do dispositivo