PRO-ISIR-PB-01
Playbook — Ransomware

← Lista Mestre

Objetivo

Conter criptografia maliciosa, impedir propagação, preservar evidências, avaliar exfiltração anterior à criptografia e restaurar serviços com segurança.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar imediatamente o checklist da primeira hora.
  2. Isolar ativos afetados e proteger backup, storage, hipervisores, AD e control plane.
  3. Verificar exclusão de snapshots, shadow copies ou sabotagem de backup.
  4. Executar hunting para propagação lateral e credenciais privilegiadas abusadas.
  5. Acionar comunicação executiva se houver impacto material.
  6. Aplicar recovery sign-off antes de retomar produção.

Evidências mínimas

Alertas EDR, hashes, binários, notas de resgate, logs de IAM/AD/VPN/storage/backup, trilhas de movimentação lateral, alterações em snapshots e registros de criptografia em massa.

Erradicação

Remover persistência, revogar credenciais, eliminar ferramentas de acesso indevidas, corrigir vetor explorado e reforçar segmentação.

Recovery e encerramento

Restaurar de fonte confiável, validar integridade, rotacionar segredos, operar em ondas e encerrar apenas quando não houver propagação residual e a avaliação de exfiltração estiver concluída.

Documentos complementares obrigatórios