Apri il PC e vedi il messaggio. «I tuoi file sono stati cifrati.» Le estensioni dei tuoi documenti sono cambiate in qualcosa di irriconoscibile — .locked, .crypt, .blackcat, non importa quale. L'antivirus è silenzioso o disattivato. Un indirizzo Bitcoin è sullo schermo.
L'istinto è farsi prendere dal panico, poi capire come pagare. È esattamente ciò su cui contano gli aggressori.
Ecco la verità: pagare per primo non è quasi mai la scelta giusta. Ci sono passi da compiere prima — e alcuni possono recuperare gratuitamente una parte significativa dei tuoi dati. Questa guida va dritta al punto.
NON PAGARE ANCORA — ecco perché e cosa fare prima
Pagare il riscatto non garantisce che riavrai i tuoi file. Alcune vittime ricevono uno strumento di decifratura difettoso. Altre non ricevono nulla. E chi paga una volta diventa un bersaglio prioritario — i gruppi criminali condividono attivamente queste liste.
Le autorità — l'FBI, la CISA, Europol e l'NCSC britannico — raccomandano tutte di non pagare, almeno finché non hai:
- Verificato se esiste un decryptor gratuito per la tua variante
- Valutato lo stato dei tuoi backup
- Tentato di recuperare ciò che si può recuperare
Non è ottimismo. È metodo.
Passo 1 — Isola il computer (fallo adesso, prima di continuare a leggere)
Prima di ogni altra cosa, se non l'hai già fatto:
- Scollega il cavo Ethernet
- Attiva la modalità aereo (o disattiva manualmente il Wi-Fi)
- Rimuovi tutti i dischi esterni, le chiavette USB, le schede SD
- Se sei su una rete condivisa (NAS, condivisioni Windows): avvisa subito gli altri utenti
I ransomware moderni — LockBit, BlackCat/ALPHV, Conti, Akira — cifrano a cascata: prima i file locali, poi le condivisioni di rete, poi i backup collegati. Ogni secondo in cui la macchina resta online estende il danno.
Non riavviare. Non forzare lo spegnimento. La RAM può contenere la chiave di cifratura, sfruttabile dagli strumenti forensi in casi rari ma reali. E un riavvio su un sistema ancora attivo può innescare un secondo passaggio di cifratura sui file creati dopo la prima esecuzione.
Passo 2 — Identifica la variante (5 minuti, gratis)
Identificare il ransomware è il passo che la maggior parte delle persone salta — e quello che cambia tutto.
Su un dispositivo pulito (telefono, secondo PC), vai su id-ransomware.malwarehunterteam.com. Carica:
- Il file README o HOW_TO_DECRYPT lasciato dagli aggressori
- Un file cifrato (uno qualsiasi)
Il database riconosce oltre 1.300 varianti in pochi secondi. Identifica la famiglia del ransomware e, cosa cruciale, ti dice se esiste un decryptor ufficiale gratuito.
Poi controlla nomoreransom.org — il portale ufficiale co-gestito da Europol, dalla Polizia Nazionale olandese, da Kaspersky e da McAfee. Oltre 160 strumenti di decifratura gratuiti coprono circa 200 famiglie. Varianti importanti tra cui STOP/Djvu (chiavi offline), GandCrab, Shade, Avaddon, alcune varianti di REvil e le chiavi di Babuk trapelate dopo i sequestri dei server sono tutte decifrabili gratuitamente.
Per un approfondimento su questo passo, la nostra guida completa all'identificazione con ID Ransomware spiega come leggere i risultati e cosa fare per ogni esito di variante.
Passo 3 — Recupera ciò che si può recuperare
Se non esiste un decryptor per la tua variante, ci sono comunque opzioni concrete prima di considerare il pagamento o accettare la perdita.
Versioni precedenti e copie shadow di Windows
Windows mantiene istantanee silenziose chiamate copie shadow del volume (VSS). I ransomware moderni tentano di eliminarle automaticamente con vssadmin delete shadows /all — ma questo comando a volte fallisce parzialmente, soprattutto sui volumi secondari o sui dischi collegati di recente.
Per verificare: clic destro su una cartella interessata > Proprietà > scheda Versioni precedenti. Se compaiono delle versioni, sono precedenti alla cifratura.
Originali non cifrati nello spazio libero
Ecco il meccanismo che la maggior parte delle persone non conosce: il ransomware cifra tipicamente ogni file creando una copia cifrata, poi eliminando l'originale. Ma l'eliminazione su un disco meccanico o SSD non distrugge immediatamente i dati — si limita a contrassegnare lo spazio come disponibile. Finché nulla è stato scritto in quella posizione, gli originali sono recuperabili.
È esattamente qui che il software di recupero dati aiuta in modo legittimo. Il nostro confronto dei software di recupero dati copre gli strumenti più adatti agli scenari post-ransomware — in particolare quelli con modalità di scansione profonda capaci di raggiungere gli originali nello spazio libero sui volumi NTFS.
File temporanei delle applicazioni
Office (Word, Excel) e Photoshop creano file temporanei durante la modifica (.tmp, .psb, .asd). Questi vengono spesso ignorati dal ransomware perché le loro estensioni non corrispondono ai bersagli primari di cifratura. Una scansione profonda può trovarli.
Come usare EaseUS
Collega il disco infetto in sola lettura a un PC pulito (via USB, senza lasciare che Windows lo monti in modalità lettura-scrittura). Avvia EaseUS Data Recovery Wizard, seleziona il disco ed esegui una scansione profonda. Lo strumento cerca originali eliminati nello spazio libero, copie shadow parziali e file temporanei intatti.
Visualizza i risultati in anteprima prima di acquistare. Se i tuoi file critici compaiono nell'elenco, il recupero è praticabile. Se il disco ha subito scritture significative dall'attacco (più riavvii, nuove installazioni), le probabilità diminuiscono.
Analizza il mio disco con EaseUS Data Recovery Wizard
Backup cloud con versionamento
Se al momento dell'attacco usavi OneDrive, Google Drive, Backblaze o iDrive, controlla la cronologia delle versioni. Questi servizi conservano tipicamente da 30 a 365 giorni di versioni precedenti a seconda del tuo piano. I file cifrati sono stati sincronizzati, ma le precedenti versioni non cifrate sono accessibili tramite l'interfaccia web.
FAQ
Devo pagare il riscatto?
No — non come primo passo. L'FBI, la CISA, Europol e l'NCSC lo sconsigliano tutti. Pagare non garantisce il recupero — alcuni di quelli che pagano ottengono uno strumento difettoso o nulla. Il pagamento finanzia attacchi futuri e ti segnala come pagatore affidabile. Lavora prima sulle opzioni di recupero gratuite descritte sopra.
Come prevengo il prossimo attacco ransomware?
Una protezione efficace si riduce a tre pilastri. Backup scollegati e regolari secondo la regola 3-2-1 — un disco esterno scollegato dopo ogni backup è immune a qualsiasi ransomware. Aggiornamenti applicati rapidamente — molti attacchi ransomware sfruttano vulnerabilità per le quali una patch era già disponibile. Cautela con le email — gli allegati Office con macro e i finti link di «tracciamento pacchi» restano i vettori di ingresso dominanti. La nostra guida alla strategia di backup 3-2-1 ti mostra come impostare tutto questo definitivamente.
Anche i miei backup locali sono cifrati. È davvero tutto perso?
Non necessariamente. Controlla due cose: primo, i backup cloud con versionamento se ne avevi uno attivo (le versioni precedenti alla cifratura restano accessibili tramite l'interfaccia web). Secondo, le copie shadow di Windows come descritto sopra. Se entrambe non sono disponibili e non esiste un decryptor, un recupero parziale tramite software è comunque possibile per gli originali eliminati prima che le copie cifrate venissero scritte.
Devo sporgere denuncia?
Sì, sempre. In Italia: la Polizia Postale (commissariatodips.it). Negli USA: IC3.gov (Internet Crime Complaint Center dell'FBI). Nel Regno Unito: actionfraud.police.uk. Queste denunce alimentano le indagini in corso e hanno contribuito direttamente ai sequestri dei server che hanno poi sbloccato chiavi di decifratura gratuite — Hive, Ragnar Locker e diverse varianti di Conti sono stati smantellati in questo modo.
Per un'analisi completa dei decryptor disponibili variante per variante, consulta la nostra guida completa per decifrare il ransomware senza pagare.
Recupera i miei file con EaseUS
Back up now so ransomware can't win → EaseUS Todo Backup
Automatic backups · disk clone · offline copy
