Ransomware Note Database 2026: Quem te atacou? Portugues

Segunda-feira de manhã. O servidor parou. Os funcionários reclamam que os arquivos do Excel estão com nomes estranhos (financeiro.xlsx.enc) e não abrem. Em cada pasta, você encontra um arquivo de texto ameaçador: LEIA_ME_AGORA.txt.

Isso é uma Nota de Resgate (Ransom Note).

Embora o pânico seja a reação natural, este arquivo é a peça chave da investigação forense. Analisando a linguagem, o nome do arquivo e os links fornecidos, podemos saber exatamente quem está do outro lado.

Abaixo, listamos os grupos mais ativos no Brasil e Portugal em 2026.

1. LockBit 4.0 / 5.0 (O Líder de Mercado)

Frequência: Extremamente Alta. Alvos: PMEs, Escritórios de Advocacia, Hospitais. Extensão: .lockbit, .lb, ou aleatória. Nome da Nota: RESTORE-MY-FILES.txt

Análise: O LockBit opera como uma multinacional. A nota deles é fria, direta e profissional. "Seus dados foram roubados e criptografados. Nós somos o programa de pentest mais rápido do mundo."

Eles têm um site na Dark Web (Tor) muito bem feito, com chat de suporte ao vivo. Perigo: Eles cumprem o que prometem. Se não pagar, publicam os dados. Se pagar, geralmente entregam a chave. Mas são caros.

2. Akira

Frequência: Alta (focado em falhas Cisco VPN). Extensão: .akira Nome da Nota: akira_readme.txt

Análise: As notas do Akira têm um estilo "Retro", lembrando terminais de computador dos anos 80 (letra verde). Eles são agressivos e visam especificamente servidores Linux (VMware ESXi) e Windows. O problema do Akira é a instabilidade. Às vezes o descriptografador deles corrompe arquivos grandes (bancos de dados SQL com mais de 2GB), tornando a recuperação impossível mesmo pagando.

3. BlackCat (ALPHV)

Frequência: Alta em grandes corporações. Extensão: Aleatória (ex: .x91z) Nome da Nota: RECOVER-[RANDOM]-FILES.txt

Análise: BlackCat é conhecido por ser escrito na linguagem Rust, o que o torna muito rápido e difícil de ser detectado por antivírus comuns. As notas de resgate deles geralmente contêm uma "amostra" dos dados roubados para provar que não estão blefando. Eles usam muita pressão psicológica, ameaçando contatar a mídia se o vazamento não for pago.

4. Phobos / Dharma

Frequência: Muito comum em ataques RDP a pequenas empresas. Extensão: .id[ID].[email].phobos Nome da Nota: info.txt ou info.hta (abre uma janela pop-up).

Análise: Diferente dos "Grandes" que usam sites Tor, o Phobos e o Dharma pedem contato via e-mail (restore_data@protonmail.com) ou Telegram. Isso é arriscado. Muitas vezes os provedores de e-mail (Google, Proton) fecham as contas dos hackers. Se a conta for fechada, você perde o contato e nunca mais recupera os dados, mesmo querendo pagar. Os resgates costumam ser menores (US$ 2.000 - US$ 10.000).

5. Medusa

Frequência: Média. Extensão: .MEDUSA Nome da Nota: !!!READ_ME_MEDUSA!!!.txt

Análise: Têm um blog de vazamento muito ativo ("Medusa Blog"). Eles fazem "leilão" dos dados das vítimas nas redes sociais, o que gera muita publicidade negativa.

Passo a Passo para Investigação

Se você encontrou uma nota dessas, siga este protocolo de guerra:

Passo 1: Não Reinicie o Servidor

Reiniciar pode interromper o processo de criptografia no meio (corrompendo arquivos irreversivelmente) ou apagar a chave de descriptografia se ela estiver na memória RAM. Apenas desconecte o cabo de rede.

Passo 2: Use o "ID Ransomware"

Tire uma foto da nota (não a envie do seu PC pessoal). Acesse o site ID Ransomware e faça o upload da nota e de um arquivo criptografado. Essa ferramenta gratuita vai te dizer:

Qual é a família do vírus.
Se existe um "Decrypter" gratuito disponível no projeto No More Ransom.

Passo 3: Avalie os Backups

Não tente pagar imediatamente. O backup é sua salvação. Verifique se seus backups estão íntegros e se não foram criptografados também. Se você tiver um backup offline limpo, você venceu. Formate tudo e restaure.

Passo 4: Chame Profissionais

Negociar com criminosos não é como comprar um carro. É perigoso e você pode ser enganado (pagar e não receber). Empresas de Resposta a Incidentes (como a Cyberlord) podem intermediar, verificar a "reputação" do grupo hacker e garantir que a transação seja o mais segura possível, se for o último recurso.

Conclusão

Identificar a nota é o primeiro passo para retomar o controle. Não entre em pânico. Respire. Cerca de 30% das vítimas conseguem recuperar dados sem pagar, graças a falhas na criptografia dos hackers ou backups escondidos.

Precisa de ajuda urgente com Ransomware? Fale conosco 24/7

Visão geral

Decisões principais, riscos e ações de implementação para este tópico.