Um sócio de escritório contábil me disse, ano passado, que estava tranquilo com segurança porque “tinha antivírus em todas as máquinas”. Três meses depois, um colaborador clicou num anexo que parecia um comprovante de pagamento de cliente. Em quarenta minutos, a base do sistema contábil, as pastas de clientes e até as cópias de backup na rede estavam criptografadas. O antivírus não emitiu um único alerta. Tudo o que ele fazia — comparar arquivos com uma lista de ameaças conhecidas — era inútil contra um ataque que não estava em lista nenhuma.
Essa cena se repete porque escritórios contábeis viraram alvo preferencial de ransomware. E porque muita gente ainda acredita que o antivírus de sempre resolve. Ele não resolve mais. A diferença entre um antivírus tradicional e um EDR (Endpoint Detection and Response) é a diferença entre um segurança que confere fotos de procurados na entrada e um que observa o comportamento de todo mundo dentro do prédio. Em 2026, para quem guarda dados fiscais de dezenas ou centenas de empresas, essa diferença é existencial.
Este post explica, sem jargão, por que o escritório contábil é alvo, o que exatamente o antivírus deixa de fazer, o que um EDR faz diferente, e como escolher uma solução adequada ao porte de um escritório — sem contratar uma ferramenta de banco multinacional para rodar em 12 estações.
Por que escritórios contábeis são o alvo favorito do ransomware em 2026
Pense no que um escritório contábil concentra: CPFs e CNPJs de dezenas de empresas, dados de folha de pagamento, declarações de Imposto de Renda, certificados digitais, movimentação financeira de clientes. É um cofre de dados sensíveis — e, para o criminoso, é um alvo com uma característica valiosíssima: alta pressão por continuidade. Um escritório parado no dia 18, em pleno fechamento, com clientes cobrando obrigações, é um alvo que tende a pagar o resgate rápido para voltar a operar.
Some a isso o fato de que o escritório não é só a vítima final — ele é um ponto de entrada para os clientes dele. Comprometer um escritório contábil pode significar acesso a dados e credenciais de todas as empresas atendidas. Para o atacante, é um único golpe com dezenas de vítimas potenciais. É por isso que contabilidades aparecem de forma desproporcional nas estatísticas de ataque para o porte que têm.
E os vetores de entrada mudaram. Não é mais só o e-mail com anexo suspeito. Hoje o golpe chega por engenharia social sofisticada, inclusive por dentro de ferramentas corporativas — como detalhamos no post sobre engenharia social via Microsoft Teams. O criminoso conversa, ganha confiança, e induz alguém a executar o que abre a porta. Nenhuma assinatura de vírus detecta uma conversa convincente.
O que o antivírus tradicional faz (e onde ele para de funcionar)
O antivírus tradicional funciona por assinatura. Ele mantém uma enorme lista de “impressões digitais” de malwares já conhecidos e, quando um arquivo bate com uma dessas impressões, bloqueia. É um modelo que funcionou muito bem por duas décadas, quando as ameaças eram arquivos que se repetiam.
O problema é que o ransomware moderno não se repete. Cada campanha gera variantes novas, muitas vezes criadas na hora, que não constam de lista nenhuma. Pior: boa parte dos ataques atuais é “fileless” — não usa um arquivo executável óbvio, e sim ferramentas legítimas que já existem no Windows, como o PowerShell, para executar o ataque. Não há arquivo malicioso para o antivírus comparar. Ele simplesmente não vê nada errado, porque, tecnicamente, cada peça isolada parece um comando normal do sistema.
É aqui que o antivírus tradicional para de funcionar. Ele responde à pergunta “esse arquivo é um vírus conhecido?”. Não responde à pergunta que importa hoje: “por que a estação do departamento pessoal, às 2h da manhã, começou a abrir e criptografar 4.000 arquivos por minuto?”. Essa segunda pergunta é comportamental — e antivírus por assinatura não enxerga comportamento.
O que é EDR e como age diferente de um antivírus comum
EDR significa Endpoint Detection and Response — detecção e resposta em endpoints (as estações e servidores). Em vez de perguntar “esse arquivo está na lista de ameaças?”, o EDR monitora continuamente o comportamento de cada máquina: que processos estão rodando, o que eles acessam, que conexões de rede abrem, que alterações fazem em massa. Ele constrói uma noção de normalidade e dispara quando algo foge dela.
Na prática, é a diferença de detectar o ataque pelos efeitos, não pela identidade. Quando um processo começa a criptografar arquivos em sequência — o comportamento clássico do ransomware — o EDR reconhece o padrão e age: isola a máquina da rede, interrompe o processo e, nas soluções melhores, reverte as alterações. E, tão importante quanto detectar, ele responde: essa é a parte “R” do nome. O antivírus, no máximo, avisa. O EDR contém o incêndio antes de ele se espalhar para o servidor e para o backup.
Há ainda um ganho que o sócio costuma subestimar: o EDR deixa rastro. Depois de um incidente, ele mostra por onde a ameaça entrou, o que tocou e até onde chegou. Sem isso, o escritório fica no escuro, sem saber se os dados de clientes vazaram — o que, sob a LGPD, é uma diferença enorme na hora de responder por um incidente.
Comparativo prático: antivírus vs EDR para PME contábil
Traduzindo para o dia a dia do escritório: o antivírus tradicional detecta ameaças conhecidas por assinatura, age arquivo a arquivo, avisa quando encontra algo na lista e é praticamente cego a ataques novos, fileless e a ransomware de variante inédita. Custa pouco e dá uma falsa sensação de proteção.
O EDR monitora comportamento em tempo real, detecta ameaças que nunca foram vistas antes justamente porque olha o que elas fazem, isola automaticamente a máquina comprometida, permite reverter danos e registra a linha do tempo completa do incidente. Custa mais por estação, exige uma gestão minimamente profissional — mas é a única classe de ferramenta que responde ao tipo de ataque que efetivamente derruba escritórios hoje.
A conta é direta: o custo mensal de um EDR para um escritório de 15 estações é uma fração de um único dia de operação parada por ransomware — sem contar o resgate, a multa de LGPD e o dano de reputação com os clientes. Não é gasto de segurança; é seguro contra parada. Vale reforçar que o EDR trabalha melhor combinado à proteção de identidade e acessos, assunto que tratamos no post sobre gestão de acessos com Microsoft Entra ID: barrar o login indevido e conter o endpoint são camadas complementares.
Compatibilidade do EDR com sistemas contábeis: Domínio, Alterdata, Questor e Fortes
Uma preocupação legítima trava muita decisão: “e se o EDR travar o meu sistema contábil?”. É uma preocupação real, porque sistemas como Domínio, Alterdata, Questor e Fortes fazem exatamente o tipo de coisa que um EDR mal configurado pode confundir com ameaça — acesso intenso ao banco de dados, escrita em massa de arquivos, processos que abrem e fecham o tempo todo durante o fechamento.
A solução não é abrir mão do EDR, e sim configurar exclusões inteligentes. Os diretórios do banco de dados (o .FDB do Fortes e do Alterdata em Firebird, a base Sybase do Domínio, o SQL Server do Questor) e os executáveis dos sistemas contábeis devem ser reconhecidos como confiáveis, de modo que o EDR não os inspecione a ponto de gerar lentidão, mas continue monitorando o resto do comportamento da máquina. É um ajuste fino que exige conhecer tanto o EDR quanto o sistema contábil — e é aqui que um parceiro especializado em TI para contabilidade faz diferença sobre um técnico genérico.
Bem configurado, o EDR roda transparente para o usuário: o contador nem percebe que ele está lá, e o sistema contábil não perde desempenho. Mal configurado, vira o pretexto perfeito para alguém pedir para “desligar essa proteção que está deixando tudo lento” — que é exatamente o que o atacante gostaria que fizessem.
Como escolher e implementar EDR sem travar a operação do escritório
Para um escritório de 5 a 30 estações, a boa notícia é que não é preciso — nem recomendável — contratar as soluções enterprise pesadas usadas por bancos e multinacionais. Elas são caras, exigem equipe dedicada de segurança e resolvem um tamanho de problema que o escritório não tem. Três opções cobrem bem o porte de PME contábil:
Microsoft Defender for Business — já incluso no Microsoft 365 Business Premium. Para o escritório que já paga o M365, é o melhor custo-benefício: capacidade de EDR de verdade, integrada ao ambiente Microsoft que o escritório já usa, sem licença adicional. Costuma ser o ponto de partida natural.
Acronis Cyber Protect — que a Altcom trabalha como parceira. A grande vantagem é unir EDR e backup na mesma plataforma: a proteção do endpoint e a última linha de defesa (o backup imutável) ficam integradas, o que simplifica a gestão e fecha o ciclo. Para escritório que quer segurança e backup resolvidos juntos, é a escolha mais coesa.
Bitdefender GravityZone — forte em detecção e leve nas estações, boa opção para quem quer uma solução dedicada de segurança com ótima taxa de detecção e baixo impacto em desempenho.
A implementação, feita direito, não para o escritório. O caminho é instalar em modo de monitoramento primeiro, ajustar as exclusões dos sistemas contábeis, validar que nada travou no fechamento seguinte e só então ligar a resposta automática. Feito assim, ninguém na operação sente a transição — e o escritório passa a ter, de fato, proteção contra o tipo de ataque que hoje derruba contabilidades.
Conclusão
Antivírus tradicional não é mais suficiente porque o ataque mudou de natureza: ele não é mais um arquivo conhecido, é um comportamento inédito. O EDR foi feito exatamente para isso — ver o que a ameaça faz, contê-la e deixar rastro. Para um escritório contábil, que concentra os dados mais sensíveis dos clientes e não pode se dar ao luxo de parar no fechamento, migrar do antivírus para o EDR deixou de ser upgrade opcional e virou requisito básico de continuidade do negócio.
Perguntas frequentes
EDR substitui o antivírus ou trabalha junto?
As soluções modernas de EDR já incluem a proteção antivírus tradicional e adicionam a camada comportamental. Ou seja, o EDR substitui e amplia — você não precisa manter os dois separados. Soluções como o Microsoft Defender for Business entregam as duas coisas na mesma ferramenta.
O EDR deixa o sistema contábil mais lento?
Bem configurado, não. É preciso definir exclusões para os bancos de dados e executáveis do Domínio, Alterdata, Questor e Fortes, de modo que o EDR não inspecione esses processos a ponto de gerar lentidão, mas continue monitorando o resto da máquina.
Qual EDR é indicado para um escritório pequeno?
Para 5 a 30 estações, Microsoft Defender for Business (incluso no M365 Business Premium), Acronis Cyber Protect ou Bitdefender GravityZone cobrem bem. Soluções enterprise pesadas não se justificam nesse porte.
Vale o custo do EDR para uma contabilidade pequena?
Sim. O custo mensal é uma fração do prejuízo de um único dia parado por ransomware — somado ao resgate, à eventual multa de LGPD e ao dano com os clientes. É proteção contra parada, não gasto supérfluo.
A TI do seu escritório está pronta para o próximo fechamento?
Faça o Diagnóstico gratuito da Altcom e descubra o que pode ser melhorado antes que vire um problema.
TI Especializada para Contabilidade por Região
Atendemos escritórios contábeis em:
TI para Contabilidade em São Paulo |
TI para Contabilidade em São Bernardo do Campo |
TI para Contabilidade em São Caetano do Sul