ID Ransomware è sicuro e affidabile?

Sì. Il servizio è gestito da MalwareHunterTeam dal 2016 (Michael Gillespie, ricercatore di riferimento sui decryptor). È citato da Europol, dall'FBI e dalla maggior parte dei CERT nazionali come primo strumento di identificazione. Il database copre oltre 1300 famiglie e ha elaborato più di 1,5 milioni di invii. I componenti lato server non sono open source, ma il curriculum del team e l'assenza di incidenti di fuga di dati lo rendono il riferimento condiviso.

I dati caricati sono riservati?

Un campione di file cifrato è crittograficamente inutilizzabile senza la chiave dell'aggressore: non può rivelare il contenuto originale. La nota di riscatto, invece, contiene spesso un identificativo univoco della vittima (UID/TID, talvolta un indirizzo Bitcoin personale o un portale Tor). Oscura o tronca questi identificativi prima del caricamento, soprattutto se intendi negoziare o assumere un negoziatore professionista. ID Ransomware non richiede un account, conserva gli invii per arricchire il database di ricerca, ma non ne pubblica il contenuto.

Cosa fare se ID Ransomware non riconosce la variante?

Tre piste complementari. Prima il database di identificazione ransomware di BleepingComputer (forum della community con analisti volontari, spesso più reattivo sulle varianti emergenti). Poi Crypto Sheriff di No More Ransom, logica simile ma database diverso. Infine Emsisoft Ransomware Identification, integrato nel loro strumento di decifratura. Se nessuno la riconosce, è probabilmente una variante molto recente o un ransomware mirato: contatta un CSIRT nazionale (CISA negli USA, CSIRT Italia in Italia, NCSC nel Regno Unito).

L'identificazione basata sull'estensione del file è affidabile?

Non da sola. Diverse famiglie condividono estensioni generiche (.locked, .encrypted, .crypto, .crypt): almeno una dozzina di ransomware usa .locked. Per questo ID Ransomware incrocia estensione, struttura binaria del file cifrato (header, marker, footer) e hash della nota di riscatto. L'identificazione basata sulla triangolazione è affidabile oltre il 95% sulle famiglie note.

Esistono rischi di falsi positivi?

Sì, soprattutto con nuove varianti basate su codice sorgente trapelato (Conti, LockBit Black, Babuk). Una variante può essere identificata come la famiglia madre pur usando una chiave indipendente: il decryptor della famiglia madre non funzionerà. Verifica sempre su un file campione prima di applicare un decryptor all'intero parco macchine, e non eliminare mai gli originali finché il recupero non è confermato.

Identificare un ransomware con ID Ransomware: guida 2026

Prima di tentare qualsiasi cosa (pagamento, decifratura, ripristino parziale), una domanda conta più di tutte: quale ransomware esattamente ti ha colpito? La risposta determina tutto — disponibilità di un decryptor, comportamento atteso, tempo di permanenza, rischio di doppia estorsione, status legale del gruppo. ID Ransomware, gestito da MalwareHunterTeam dal 2016, è lo strumento di riferimento per rispondere a questa domanda in pochi minuti.

Questa guida descrive la procedura esatta, cosa devi sapere prima di caricare e come agire in base al risultato, a seconda che la variante sia nota o emergente.

Perché l'identificazione precisa cambia tutto

Molti utenti colpiti da ransomware trattano l'incidente come se fosse un'unica categoria di evento e applicano una risposta generica che tutti leggono (non pagare, ripristinare da backup, sporgere denuncia). È in parte corretto, ma ignorare l'identificazione specifica della variante fa perdere reali opportunità di recupero in circa il 30% dei casi.

L'identificazione precisa cambia la strategia su tre assi critici. Primo asse: disponibilità di un decryptor gratuito. Il progetto No More Ransom, gestito da Europol, dalla polizia olandese, da Kaspersky e da McAfee, pubblica regolarmente strumenti di decifratura quando i ricercatori riescono a violare lo schema crittografico di una famiglia di ransomware. Nel primo trimestre 2026, circa 140 famiglie distinte hanno almeno uno strumento pubblicato. Se la tua variante è una di queste 140, puoi letteralmente decifrare i tuoi file gratuitamente in poche ore. Ma se non identifichi la variante, non sai che un simile strumento esiste.

Secondo asse: rischio di doppia estorsione. I gruppi ransomware non sono equivalenti per capacità di esfiltrazione. Gli operatori di "alto livello" (LockBit 3.0, BlackCat/ALPHV, Royal, Akira, Black Basta) effettuano sistematicamente una significativa esfiltrazione prima della cifratura e pubblicano i dati sui loro siti di leak se non vengono pagati. Gli operatori di "cybercrime classico" (Stop/Djvu, eredi di GandCrab, alcune varianti Phobos) generalmente non esfiltrano e il rischio si limita alla cifratura locale. La strategia di notifica (autorità di controllo, clienti, fornitori) e la pressione sul calcolo del riscatto dipendono direttamente da questa distinzione.

Terzo asse: status legale e sanzioni OFAC. Diversi gruppi ransomware sono designati dall'OFAC statunitense come entità sanzionate (LockBit a febbraio 2024, Conti nel 2022, Black Basta parzialmente). Pagare un riscatto a un gruppo soggetto a sanzioni OFAC è illegale per qualsiasi persona o azienda statunitense, e costituisce un rischio legale significativo anche per le aziende europee con operazioni negli USA. Identificare con precisione il gruppo ti permette di sapere se il pagamento è legalmente possibile prima ancora di considerarne l'etica.

ID Ransomware: cosa fa davvero il servizio

ID Ransomware è un progetto gestito da Michael Gillespie (alias Demonslay335), ricercatore centrale nella community ransomware fin dalla metà degli anni 2010. Il servizio è gratuito, non richiede account e accetta due tipi di input: un campione di file cifrato e la nota di riscatto lasciata dagli aggressori.

Logica di identificazione

Lo strumento incrocia diversi segnali per decidere:

L'estensione aggiunta al file cifrato (.lockbit, .djvu, .conti, ecc.).
La struttura binaria del file: header, marker collocato all'inizio o alla fine del file, firma dell'algoritmo (AES, ChaCha20, Salsa20), talvolta un footer con metadati (versione, ID vittima, chiave cifrata RSA).
L'hash della nota di riscatto: la maggior parte delle famiglie usa un modello di testo stabile, che varia solo nei campi dinamici (UID, importo, link Tor). Un hash parziale o una firma lessicale consente un'identificazione affidabile.
Il nome del file della nota: README.txt, _readme.txt, HOW_TO_DECRYPT.txt, !!!HELP_FILE!!!.html, restore-my-files.txt, ecc.
Lo sfondo del desktop di riscatto in alcuni casi (un'immagine sostituita come sfondo del desktop).

La triangolazione di questi segnali porta il tasso di identificazione oltre il 95% sulle famiglie indicizzate. Il database copre nel 2026 più di 1300 famiglie, con il servizio che elabora circa 1,5 milioni di invii all'anno.

Perché non solo l'estensione

Circa una dozzina di ransomware condividono estensioni generiche come .locked, .encrypted o .crypto. Senza incrociare la nota e la struttura binaria, l'identificazione sarebbe regolarmente errata — e un decryptor applicato alla famiglia sbagliata distrugge i file in modo permanente.

Procedura completa

Passo 1 — Prepara un ambiente di lavoro

Ti serve un dispositivo non infetto: smartphone, secondo PC, il computer di un parente. Non usare mai la macchina compromessa per l'identificazione: potrebbe continuare a esfiltrare dati o cifrare file appena creati.

Prepara due supporti:

Una chiavetta USB per trasferire la nota di riscatto e un file cifrato.
Una cartella di prove (screenshot, acquisizioni, registro eventi).

Passo 2 — Estrai un campione di file cifrato

Lavora sempre su una copia, mai sull'originale. Se sovrascrivi o modifichi accidentalmente l'originale, perdi l'opportunità di recupero anche se un decryptor arriva più tardi.

Scegli un piccolo file cifrato (idealmente sotto 1 MB): è il limite di caricamento su ID Ransomware. Un modesto .docx o .jpg va bene. Per esaminare le caratteristiche del file prima del caricamento, ecco uno script PowerShell che estrae le informazioni chiave.

# Esamina un file cifrato senza modificarlo
$file = "C:\Path\To\encrypted-sample.docx.lockbit3"

# Dimensione e timestamp
Get-Item $file | Select-Object FullName, Length, CreationTime, LastWriteTime

# Hash SHA-256 dell'intero file
Get-FileHash -Algorithm SHA256 $file

# Primi 256 byte (header) in esadecimale - utile per identificare il marker
$bytes = [System.IO.File]::ReadAllBytes($file) | Select-Object -First 256
($bytes | ForEach-Object { $_.ToString("X2") }) -join " "

# Ultimi 512 byte (il footer porta spesso il marker e la chiave RSA)
$all = [System.IO.File]::ReadAllBytes($file)
$tail = $all[($all.Length - 512)..($all.Length - 1)]
($tail | ForEach-Object { $_.ToString("X2") }) -join " "

# Cerca una firma ASCII visibile (UID, marker familiare)
$content = [System.Text.Encoding]::ASCII.GetString($all)
[regex]::Matches($content, "[A-Za-z0-9]{16,}") | Select-Object -First 5

Questo script non modifica mai il file (tutte le operazioni sono di sola lettura) e restituisce hash, header e footer — utile per il forum BleepingComputer se ID Ransomware non riconosce la variante.

Passo 3 — Recupera la nota di riscatto

La nota viene tipicamente lasciata sul desktop, nella cartella Documenti e all'interno di ogni cartella contenente file cifrati. Nomi di file comuni nel 2026:

README.txt
_readme.txt (STOP/Djvu)
HOW_TO_DECRYPT.txt
!!!HELP_FILE!!!.html
restore-my-files.txt (LockBit)
RECOVER_DATA.html (Akira)
instructions_read_me.txt (BlackBasta)
recover-files.txt (Royal)

Prima del caricamento, oscura gli identificativi personali. La nota contiene quasi sempre un UID, TID, ID transazione, indirizzo Bitcoin personale o link Tor univoco che ti identifica presso gli aggressori. Sostituisci queste stringhe con [REDACTED] in una copia della nota prima di inviarla a ID Ransomware. Perché: se in seguito decidi di ingaggiare un negoziatore professionista, l'aggressore non deve sapere che hai analizzato pubblicamente la nota.

Passo 4 — Carica su ID Ransomware

Apri id-ransomware.malwarehunterteam.com. L'interfaccia offre due campi:

Ransom Note: la nota di riscatto (testo, HTML, immagine, audio TTS per alcune varianti recenti).
Sample Encrypted File: un file cifrato.

Limite: 1 MB per file. Nessun account richiesto, invio anonimo. Il servizio elabora la richiesta in pochi secondi.

Passo 5 — Leggi il risultato

Tre esiti possibili:

Identificazione positiva con decryptor disponibile. Il risultato mostra il nome della famiglia, un link diretto al decryptor ufficiale (spesso Emsisoft, Avast, Kaspersky o No More Ransom) e un link al topic BleepingComputer pertinente. Scarica il decryptor solo dalla fonte ufficiale: esistono falsi decryptor con trappole.

Identificazione positiva senza decryptor. La variante è nota ma non esiste uno strumento gratuito (caso di LockBit 3.0, Akira recente, Royal, BlackCat, Play, 8base, BlackBasta). Annota il nome esatto per i passaggi successivi (negoziazione, denuncia, notifica di violazione dei dati).

Identificazione incerta o multipla. Il servizio restituisce diversi candidati. Incrocia con BleepingComputer e No More Ransom per dirimere il dubbio.

Passo 6 — Incrocia con database alternativi

ID Ransomware non è solo. Database complementari utili nel 2026:

No More Ransom — Crypto Sheriff (nomoreransom.org): iniziativa congiunta di Europol, polizia olandese e diversi fornitori di antivirus. Database di oltre 200 decryptor gratuiti. Interfaccia simile (carica nota + campione).
BleepingComputer Ransomware ID (bleepingcomputer.com/forums): forum della community con analisti volontari. Più reattivo sulle varianti emergenti.
Emsisoft Ransomware Identification (emsisoft.com/ransomware-decryption): integrato nel loro catalogo di decryptor.
Coveware (coveware.com): identificazione gratuita per le aziende che ingaggiano una missione di risposta/negoziazione a pagamento.

Famiglie di ransomware comuni 2024–2026

Righe di codice sorgente su uno schermo scuro

Famiglia	Estensione tipica	Decryptor gratuito	Modello
LockBit 3.0 / Black	.lockbit, .HLJkNskOq (casuale)	No (chiavi parziali da operazione di polizia 2024)	RaaS — affiliati
LockBit 4.0	.[casuale]	No	RaaS — rilancio 2024
Akira	.akira, .powerranges	Parziale (varianti più vecchie)	RaaS
BlackCat / ALPHV	.[7 caratteri casuali]	No (chiavi FBI 2023, limitate)	RaaS — parzialmente smantellato
Royal	.royal, .royal_w, .royal_u	No	Gruppo chiuso
BlackBasta	.basta	No	RaaS
Play	.play, .PLAY	No	Gruppo chiuso
8base	.8base, .id-.8base	No	RaaS
STOP / Djvu	.djvu, .stop, .pulsar1, .qehu, ecc.	Parziale (Emsisoft, solo chiavi offline)	Solo + varianti
Phobos	.phobos, .eight, .eject, .devos	Parziale (chiavi trapelate 2024)	RaaS
Conti (legacy)	.conti, .[5 casuali]	No (codice sorgente trapelato 2022)	Smantellato — varianti attive
Hive (legacy)	.hive, .[casuale]	Sì (chiavi FBI 2023)	Smantellato gen. 2023
Babuk (legacy)	.babuk, .babyk, .NIST_K571	Parziale (codice trapelato 2021)	Smantellato — varianti attive
Cl0p	.clop, .C_L_O_P, .cllp	No	Gruppo chiuso
Medusa	.MEDUSA	No	RaaS

Lo status può evolvere: monitora regolarmente No More Ransom e i bollettini CISA.

Dopo l'identificazione — cosa fare in base al risultato

Caso A — Esiste un decryptor ufficiale

Ottima notizia, ma attenzione alle insidie.

Scarica il decryptor solo dalla fonte ufficiale (link da ID Ransomware, No More Ransom o dal sito del fornitore).
Verifica prima su una copia di un file cifrato. Se la copia viene decifrata correttamente, estendi all'intero parco macchine.
Conserva i file cifrati originali finché non confermi che il recupero è completo e stabile (minimo 1-2 settimane).

Consulta la nostra guida Decifrare un ransomware senza pagare per l'elenco degli strumenti per famiglia.

Caso B — Nessun decryptor disponibile

Niente panico: è il caso più comune nel 2026 sulle famiglie RaaS recenti. Restano diverse leve:

Backup precedente all'attacco: primo tentativo di recupero. Controlla backup cloud (OneDrive, Backblaze, iCloud), disco esterno scollegato, NAS off-site.
Copie shadow di Windows non ancora distrutte — vedi Recupero copie shadow di Windows.
EaseUS Data Recovery Wizard per scansionare i frammenti non cifrati (file temp di Office, salvataggi automatici Adobe, miniature EXIF). Metodo descritto in Recuperare file dopo un ransomware.
NAS Synology / QNAP colpito: procedure specifiche in Ransomware su NAS Synology e QNAP.

Scelta editoriale

4.5 / 5

Scansiona i frammenti recuperabili con EaseUS

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB

Vedi l'offerta

Caso C — Denuncia e notifica obbligatorie

Qualunque sia il risultato:

Sporgi denuncia alle forze dell'ordine. Negli USA: IC3.gov. Regno Unito: Action Fraud. Italia: Polizia Postale e delle Comunicazioni. Spagna: INCIBE.
Notifica GDPR entro 72 ore se tratti dati personali di terzi (clienti, dipendenti, contatti). Obbligo dell'Articolo 33 nell'UE/SEE. Obblighi equivalenti esistono in California (CCPA), Brasile (LGPD), Regno Unito (UK-GDPR).
Dichiarazione all'assicurazione cyber se coperto: una denuncia è in genere richiesta per attivare il rimborso.

Falsi positivi e insidie comuni

Varianti basate su codice sorgente trapelato

Il codice sorgente di Conti, LockBit Black, Babuk e HelloKitty è trapelato tra il 2021 e il 2024. Varianti amatoriali riutilizzano queste basi di codice con chiavi proprie. ID Ransomware può classificarle come la famiglia madre, ma il decryptor della famiglia madre non funzionerà su queste varianti (chiavi indipendenti). Verifica sempre su una copia prima del dispiegamento.

Collisioni di estensioni

Più famiglie usano le stesse estensioni generiche:

.locked: usata da almeno 12 famiglie diverse (TeslaCrypt, Locked-In, Cerber, ecc.).
.encrypted: 8 famiglie note.
.crypt: 6 famiglie.

Senza la nota di riscatto, l'identificazione basata solo sull'estensione è inaffidabile. Carica sempre entrambi.

Falsi decryptor

Forum underground e alcuni siti di SEO black-hat diffondono decryptor con trappole (essi stessi ransomware o ruba-credenziali). Scarica solo da:

Il link ufficiale su ID Ransomware.
No More Ransom.
Siti dei fornitori di antivirus (Emsisoft, Kaspersky, Avast, Bitdefender, Trend Micro).

Sicurezza del servizio — punti di attenzione

ID Ransomware non espone il contenuto dei tuoi file: un file cifrato senza la chiave è crittograficamente inutilizzabile, anche per MalwareHunterTeam. La nota di riscatto, tuttavia, merita attenzione:

Identificativi univoci della vittima (UID, TID, ID transazione, indirizzo Bitcoin personale, link Tor univoco). Mascherali prima del caricamento.
Dati aziendali strutturati, talvolta iniettati dagli aggressori (nome dell'organizzazione, importi specifici). Preserva la riservatezza prima dell'invio pubblico.
Politica di conservazione: ID Ransomware conserva gli invii per arricchire il database di ricerca ma non pubblica il contenuto. Per i casi sensibili (governo, sanità, infrastrutture critiche), passa attraverso un CSIRT nazionale anziché lo strumento pubblico.

In sintesi

Identificare la variante è la prima azione utile dopo aver isolato la macchina. La procedura richiede dai 10 ai 15 minuti, non costa nulla e condiziona tutto ciò che segue: decryptor disponibile, modello di minaccia, obblighi legali, scelta dello strumento di recupero.

Inizia da id-ransomware.malwarehunterteam.com, incrocia con No More Ransom e BleepingComputer, poi decidi. E se sei nel mezzo di un attacco senza un piano, segui la metodologia completa in Recuperare file dopo un ransomware — oppure avvia una diagnosi per stimare le probabilità di recupero.

Risorse