Banco de Dados de Notas de Resgate Ransomware 2026: Identifique o Hacker

CyberLord Threat Intel

Banco de Dados de Notas de Resgate Ransomware 2026: Identifique o Hacker

Segunda-feira de manhã. O servidor parou. Os funcionários reclamam que os arquivos do Excel estão com nomes estranhos (financeiro.xlsx.enc) e não abrem. Em cada pasta, você encontra um arquivo de texto ameaçador: LEIA_ME_AGORA.txt.

Isso é uma Nota de Resgate (Ransom Note).

Embora o pânico seja a reação natural, este arquivo é a peça chave da investigação forense. Analisando a linguagem, o nome do arquivo e os links fornecidos, podemos saber exatamente quem está do outro lado.

Abaixo, listamos os grupos mais ativos no Brasil e Portugal em 2026.

1. LockBit 4.0 / 5.0 (O Líder de Mercado)

Frequência: Extremamente Alta. Alvos: PMEs, Escritórios de Advocacia, Hospitais. Extensão: .lockbit, .lb, ou aleatória. Nome da Nota: RESTORE-MY-FILES.txt

Análise: O LockBit opera como uma multinacional. A nota deles é fria, direta e profissional. "Seus dados foram roubados e criptografados. Nós somos o programa de pentest mais rápido do mundo."

Eles têm um site na Dark Web (Tor) muito bem feito, com chat de suporte ao vivo. Perigo: Eles cumprem o que prometem. Se não pagar, publicam os dados. Se pagar, geralmente entregam a chave. Mas são caros.

2. Akira

Frequência: Alta (focado em falhas Cisco VPN). Extensão: .akira Nome da Nota: akira_readme.txt

Análise: As notas do Akira têm um estilo "Retro", lembrando terminais de computador dos anos 80 (letra verde). Eles são agressivos e visam especificamente servidores Linux (VMware ESXi) e Windows. O problema do Akira é a instabilidade. Às vezes o descriptografador deles corrompe arquivos grandes (bancos de dados SQL com mais de 2GB), tornando a recuperação impossível mesmo pagando.

3. BlackCat (ALPHV)

Frequência: Alta em grandes corporações. Extensão: Aleatória (ex: .x91z) Nome da Nota: RECOVER-[RANDOM]-FILES.txt

Análise: BlackCat é conhecido por ser escrito na linguagem Rust, o que o torna muito rápido e difícil de ser detectado por antivírus comuns. As notas de resgate deles geralmente contêm uma "amostra" dos dados roubados para provar que não estão blefando. Eles usam muita pressão psicológica, ameaçando contatar a mídia se o vazamento não for pago.

4. Phobos / Dharma

Frequência: Muito comum em ataques RDP a pequenas empresas. Extensão: .id[ID].[email].phobos Nome da Nota: info.txt ou info.hta (abre uma janela pop-up).

Análise: Diferente dos "Grandes" que usam sites Tor, o Phobos e o Dharma pedem contato via e-mail (restore_data@protonmail.com) ou Telegram. Isso é arriscado. Muitas vezes os provedores de e-mail (Google, Proton) fecham as contas dos hackers. Se a conta for fechada, você perde o contato e nunca mais recupera os dados, mesmo querendo pagar. Os resgates costumam ser menores (US$ 2.000 - US$ 10.000).

5. Medusa

Frequência: Média. Extensão: .MEDUSA Nome da Nota: !!!READ_ME_MEDUSA!!!.txt

Análise: Têm um blog de vazamento muito ativo ("Medusa Blog"). Eles fazem "leilão" dos dados das vítimas nas redes sociais, o que gera muita publicidade negativa.

Passo a Passo para Investigação

Se você encontrou uma nota dessas, siga este protocolo de guerra:

Passo 1: Não Reinicie o Servidor

Reiniciar pode interromper o processo de criptografia no meio, corrompendo arquivos irreversivelmente, ou apagar a chave de descriptografia se ela estiver na memória RAM. Apenas desconecte o cabo de rede.

Passo 2: Use o "ID Ransomware"

Tire uma foto da nota, sem enviá-la do seu PC pessoal. Acesse o site ID Ransomware e faça o upload da nota e de um arquivo criptografado. Essa ferramenta gratuita vai te dizer:

  1. Qual é a família do vírus.
  2. Se existe um "decrypter" gratuito disponível no projeto No More Ransom.

Passo 3: Avalie os Backups

Não tente pagar imediatamente. O backup é sua salvação. Verifique se seus backups estão íntegros e se não foram criptografados também. Se você tiver um backup offline limpo, você venceu. Formate tudo e restaure.

Passo 4: Chame Profissionais

Negociar com criminosos não é como comprar um carro. É perigoso e você pode ser enganado, pagando e não recebendo nada. Empresas de Resposta a Incidentes, como a Cyberlord, podem intermediar, verificar a reputação do grupo hacker e reduzir o risco operacional se a negociação virar o último recurso.

Como identificar a variante em menos de 15 minutos

Quando a empresa está parada, muita gente olha apenas para a extensão do arquivo criptografado. Isso ajuda, mas normalmente não basta. Uma triagem mais confiável cruza quatro sinais ao mesmo tempo:

  1. Nome exato da nota: arquivos como RESTORE-MY-FILES.txt, info.hta ou RECOVER-[ID]-FILES.txt costumam reduzir bastante o universo de suspeitos.
  2. Canal de contato exigido: grupos mais maduros usam portal Tor, chat privado ou ticket. Operadores menores ainda dependem de e-mail Proton, Tox ou Telegram.
  3. Tom da mensagem: notas frias e "corporativas" são bem diferentes de textos agressivos cheios de ameaças. Esse detalhe revela o estilo do grupo e a maturidade da operação.
  4. Contexto do ataque: RDP exposto, VPN vulnerável, credenciais roubadas ou ambiente ESXi comprometido ajudam a confirmar a família.

Se dois ou três desses sinais apontarem para a mesma família, você já consegue tomar decisões melhores sobre contenção, restauração e negociação.

Evidências que você deve preservar antes de agir

A nota de resgate é só uma parte da investigação. Antes de reiniciar sistemas ou limpar arquivos, separe:

  • uma cópia da nota original em TXT, HTML ou HTA
  • um arquivo criptografado pequeno e outro grande
  • capturas de tela da pasta afetada e das novas extensões
  • logs de firewall, VPN, EDR ou Microsoft 365 das últimas 72 horas
  • lista dos primeiros servidores e endpoints impactados
  • qualquer URL onion, endereço de carteira, e-mail ou Tox ID citado pelos atacantes

Esse pacote acelera a identificação e evita que a empresa perca horas seguindo a família errada.

Como decidir entre restaurar, negociar ou isolar por mais tempo

A nota não responde tudo sozinha, mas ajuda a montar a matriz de decisão.

Existe exfiltração confirmada?

Se houve roubo de dados antes da criptografia, o incidente passa a ter impacto jurídico, regulatório e reputacional. A estratégia muda.

O backup está realmente limpo?

Muitas empresas descobrem tarde demais que o backup também foi criptografado, apagado ou sincronizado com dados corrompidos.

O grupo costuma entregar descriptografador funcional?

Alguns operadores enviam uma ferramenta usável. Outros entregam decrypters lentos, incompletos ou incapazes de restaurar bancos de dados grandes.

Entender essas três respostas antes de discutir pagamento costuma poupar dinheiro, tempo e mais dano operacional.

Conclusão

Identificar a nota é o primeiro passo para retomar o controle. Não entre em pânico. Respire. Cerca de 30% das vítimas conseguem recuperar dados sem pagar, graças a falhas na criptografia dos hackers ou backups escondidos.

Precisa de ajuda urgente com Ransomware? Fale conosco 24/7

Perguntas frequentes

Vale a pena responder direto ao e-mail da nota?

Só depois de preservar evidências e validar a família do ransomware. Responder cedo demais pode revelar urgência, tamanho da empresa e capacidade de pagamento.

O valor pedido na nota é final?

Quase nunca. Muitas notas usam um valor inicial alto apenas como âncora de negociação. Ainda assim, não faz sentido discutir pagamento antes de validar backup, exfiltração e chance real de descriptografia.

Um antivírus resolve depois que a nota apareceu?

Não. Nessa fase, o ponto central é resposta a incidente: contenção, forense, erradicação, restauração e comunicação.