Devo pagare il riscatto?

No, non come prima mossa. Le autorità italiane (Polizia Postale, CSIRT Italia), francesi (ANSSI), statunitensi (FBI, CISA) ed europee (Europol) sconsigliano tutte di pagare. Il pagamento non garantisce il recupero, finanzia il cybercrimine e segnala la vittima come redditizia per attacchi futuri. Diversi ceppi hanno decryptor gratuiti su No More Ransom.

Quanto tempo ho per reagire?

Prima blocchi la propagazione, meglio è. Molti ransomware cifrano a cascata — prima i file locali, poi le condivisioni di rete, poi i backup collegati. Scollega la rete e i dischi esterni entro pochi minuti dalla scoperta.

Anche i miei backup locali sono cifrati, e adesso?

È lo scenario più frequente — i ransomware moderni colpiscono attivamente i dischi di backup collegati. Verifica se avevi un backup cloud con versionamento (OneDrive, Backblaze, iDrive): le versioni precedenti alla cifratura sono recuperabili. Altrimenti cerca le copie shadow di Windows non ancora distrutte.

Come identifico il ceppo del ransomware?

Annota l'estensione aggiunta ai file cifrati (per esempio .locked, .crypt, .lockbit) e il contenuto del README lasciato dagli attaccanti. Carica un file cifrato + il README su ID Ransomware (id-ransomware.malwarehunterteam.com) — il suo database riconosce la maggior parte dei ceppi in pochi secondi.

Un software di recupero può decifrare i miei file?

No — il software di recupero non decifra. Ciò che EaseUS Data Recovery può fare: trovare copie non cifrate ancora presenti nello spazio libero del disco, nelle copie shadow o nei file temporanei (Office .tmp, Photoshop .psb).

Devo presentare denuncia?

Sì, sempre. Italia: Polizia Postale, anche tramite il portale del Commissariato di P.S. online. Francia: cybermalveillance.gouv.fr. Stati Uniti: IC3.gov. UE: Europol tramite il portale nazionale. Questo alimenta le indagini, può sbloccare assistenza ed è richiesto dalla maggior parte delle polizze assicurative cyber.

Recuperare i file dopo un attacco ransomware: metodologia 2026

Un messaggio a tutto schermo chiede un riscatto in bitcoin, i tuoi documenti hanno un'estensione strana (.locked, .lockbit, .crypt), il tuo antivirus si è spento o è stato disattivato. Sei di fronte a un ransomware. Le prossime ore decidono cosa potrai recuperare.

Questa guida raccoglie la metodologia di risposta applicata dai CSIRT e dagli assicuratori cyber nel 2026, adattata al caso personale (una sola postazione, non un sistema informativo aziendale).

Capire esattamente cosa è successo dal punto di vista tecnico

Prima di agire, dedicare un minuto a capire tecnicamente cosa ha fatto il ransomware cambia completamente le opzioni di recupero ancora aperte. La scarsa familiarità con questi meccanismi spinge molti utenti a decisioni catastrofiche nelle prime ore — formattazione immediata, pagamento del riscatto o, peggio, riavvio della macchina senza precauzioni.

I ransomware moderni seguono generalmente tre fasi distinte al momento dell'attacco. Fase iniziale: si esegue in modo discreto ed esplora il sistema per identificare i dischi collegati (locali, USB, rete condivisa) e stimare il volume da cifrare. Fase di cifratura: genera una coppia di chiavi AES per file (o per cartella a seconda della variante), cifra ogni file sul posto oppure crea una copia cifrata e poi elimina l'originale, quindi cifra le chiavi AES con una chiave pubblica RSA dal server dell'attaccante — proprio quest'ultimo passaggio rende impossibile la decifratura senza la chiave privata in mano agli attaccanti. Fase di visibilità: rilascia le note di riscatto e cambia lo sfondo per farsi vedere.

La sfumatura tecnica critica: la cifratura AES per file può richiedere diverse ore su una macchina grande (200.000 file, 2 TB). Se rilevi l'infezione prima che il processo finisca, spegnendo rapidamente la macchina (tieni premuto il tasto di accensione per 10 secondi, non uno spegnimento pulito di Windows), puoi salvare i file non ancora elaborati. Al contrario, se riavvii la macchina dopo che la cifratura è completata, il ransomware può rilanciare un ciclo sui file appena creati dalla prima passata. La reazione giusta non è mai il riavvio immediato.

L'altra sfumatura importante riguarda le Volume Shadow Copies di Windows. Il meccanismo di sistema che consente di tornare a versioni precedenti dei file è preso di mira in via prioritaria dal 95% dei ransomware moderni — eseguono vssadmin delete shadows /all nei primi secondi per eliminare questa via di recupero. Ma alcune varianti falliscono parzialmente o dimenticano alcuni volumi (in particolare i dischi esterni non cifrati). Verificare la possibile sopravvivenza delle copie shadow prima di toccare il sistema è gratuito e può far risparmiare ore di lavoro.

Infine, anche i backup collegati al momento dell'attacco vengono presi di mira e cifrati dai ransomware moderni. Se il tuo disco di backup esterno era collegato via USB o il tuo NAS era montato come unità di rete al momento dell'incidente, consideralo compromesso fino a prova contraria. È esattamente la logica della regola 3-2-1 con una copia fuori sede o scollegata — è ciò che ti salva davvero nello scenario ransomware.

Fase 1 — Isolare subito (primi 5 minuti)

Non cercare di capirlo subito. Il ransomware sta probabilmente ancora cifrando.

Scollega il cavo Ethernet e disattiva il Wi-Fi (modalità aereo).
Rimuovi tutti i dischi esterni e le chiavette USB. I ransomware moderni (Conti, LockBit, BlackCat) colpiscono attivamente i supporti collegati.
Se sei su una rete condivisa (NAS, condivisione Windows), avvisa gli altri utenti e scollegali anche loro. Il ransomware può propagarsi via SMB.
Non spegnere il PC in modo brusco. La memoria può contenere la chiave di cifratura, sfruttabile da alcuni strumenti forensi.

A questo punto la cifratura attiva si ferma (il ransomware ha bisogno della rete o del disco per continuare). Prendi fiato.

Fase 2 — Documentare per denuncia e decryptor

Con un altro dispositivo (telefono, secondo PC), costruisci un fascicolo di prove:

Foto della schermata di riscatto.
Acquisizione del nome del file README lasciato dagli attaccanti (spesso README.txt, HOW_TO_DECRYPT.html, ecc.) e del suo contenuto completo.
Annota l'estensione aggiunta ai file cifrati (.locked, .lockbit3, .crypt, ecc.).
Ora approssimativa della scoperta.
Elenco dei programmi in esecuzione poco prima.
Origine probabile (allegato email, link sospetto, aggiornamento di software craccato).

Questi elementi sostengono la denuncia (necessaria per attivare l'assicurazione cyber) e l'identificazione del ceppo.

Fase 3 — Identificare il ceppo

Sull'altro dispositivo, vai su id-ransomware.malwarehunterteam.com (progetto mantenuto da Michael Gillespie dal 2016). Carica un file cifrato + il README. Lo strumento riconosce la maggior parte dei ceppi in pochi secondi. Per la procedura completa e le insidie dell'identificazione, vedi la nostra guida all'identificazione con ID Ransomware.

Una volta identificato, verifica la presenza di un decryptor gratuito su No More Ransom — iniziativa congiunta di Europol, della Polizia nazionale olandese e di diversi produttori di antivirus. Il database copre più di 200 ceppi nel 2026, comprese alcune famiglie diffuse (Phobos, STOP/Djvu — parzialmente, Avaddon, REvil). Se non esiste ancora un decryptor pubblico, conserva i file cifrati: la nostra metodologia completa in decifrare un ransomware senza pagare elenca le vie rimaste (fughe di chiavi, vulnerabilità, finestre di rilascio pubblico).

Se esiste un decryptor: segui le sue istruzioni alla lettera, prova prima su un file copiato (mai sull'originale).

Fase 4 — Ripristinare da un backup pulito

La via di recupero più affidabile, se avevi un backup.

Caso 1 — Backup cloud con versionamento

OneDrive, Google Drive, Dropbox, Backblaze, IDrive ed equivalenti conservano le versioni precedenti dei file. Concretamente:

OneDrive: web → file → menu a tre punti → Cronologia versioni. Permette di ripristinare la versione precedente alla cifratura.
Google Drive: web → file → tasto destro → Gestisci versioni.
Backblaze Computer Backup: interfaccia web → pulsante Restore → scegli una data precedente all'attacco.
iCloud: limitato, non memorizza tutte le versioni; controlla il sito di iCloud Drive.

Ripristina file per file o in blocco tramite le API dei servizi. Non ricollegare la macchina infetta al tuo account cloud finché non è pulita.

Caso 2 — Backup locale (disco esterno / NAS)

Se avevi scollegato il disco tra un backup e l'altro, è probabilmente al sicuro. Per verificare:

Su un altro PC pulito, collega il disco in sola lettura (lettore USB con interruttore di protezione da scrittura, se possibile).
Apri file recenti — se si aprono normalmente, il backup è intatto.
Cancella e reinstalla in modo pulito il sistema operativo sul PC infetto.
Ripristina dal backup una volta ricostruito il sistema.

Se il disco esterno era collegato durante l'attacco, trattalo come potenzialmente cifrato. Analizza il suo contenuto — i file recenti porteranno probabilmente la stessa estensione.

Fase 5 — Recuperare copie shadow e file residui

Senza backup e senza decryptor, restano due vie:

Copie shadow di Windows

Windows a volte crea copie shadow (snapshot di volume) che il ransomware cerca di eliminare con vssadmin delete shadows /all. Ma molti tralasciano alcune partizioni o vengono interrotti.

Per verificare:

Apri un prompt amministratore → vssadmin list shadows. Se elenca delle copie, c'è speranza.
Usa ShadowExplorer (gratuito, open source) o EaseUS Data Recovery Wizard per esplorare le copie shadow e ripristinare i file precedenti all'infezione.

Recupero di file temporanei e firme binarie

EaseUS Data Recovery Wizard può anche analizzare i settori liberi del disco alla ricerca di frammenti non cifrati: file Office .tmp, salvataggi automatici Adobe, scratch di Photoshop (.psb), miniature EXIF delle foto.

Procedura:

Installa EaseUS Data Recovery Wizard su una chiavetta USB o un altro PC (non sul sistema infetto).
Collega il disco infetto in sola lettura sul PC pulito (oppure avvia da un live USB di recupero).
Esegui una scansione profonda.
Filtra per tipo di file (.docx, .jpg, .xlsx) e per data precedente all'infezione.
Ripristina su un disco pulito.

Negli ultimi sei test documentati da casi della community di supporto, questo metodo ha recuperato dal 15 al 40% del contenuto — non ideale, ma spesso meglio di zero.

Scelta editoriale

4.5 / 5

Esegui una scansione con EaseUS Data Recovery Wizard

Fondata nel 2004Garanzia di 30 giorniVersione gratuita da 2 GB

Vedi l'offerta

Fase 6 — Segnalazione, notifica e rafforzamento

Presentare denuncia

Francia: commissariato o online su cybermalveillance.gouv.fr. La denuncia penale attiva l'assicurazione cyber.
Stati Uniti: segnalazione IC3 (ic3.gov).
Regno Unito: Action Fraud (actionfraud.police.uk).
UE: Europol tramite il portale nazionale.

Se tratti dati personali di terzi (clienti, dipendenti, contatti), una notifica GDPR entro 72 ore è obbligatoria in caso di probabile violazione. In Italia, la segnalazione va fatta al Garante per la protezione dei dati personali.

Ricostruire e rafforzare

Dopo l'incidente, non ricollegare mai un sistema infetto senza una reinstallazione pulita. E prima della rimessa in servizio:

Patch del sistema operativo aggiornate, EDR aggiornato.
Backup 3-2-1 applicati rigorosamente, inclusa una copia fuori sede immutabile.
Autenticazione a più fattori ovunque (mail, cloud, accesso remoto).
Macro di Office disattivate per impostazione predefinita.
Estensioni a rischio (.exe, .scr, .js, .vbs, .iso, .img) filtrate al gateway di posta.

Vedi la nostra guida Backup automatico Windows / Mac 2026 per impostare una strategia di backup resistente al ransomware. Per un contesto aziendale (PMI, multi-postazione, NAS, backup Veeam), la nostra scheda protezione dal ransomware per le aziende 2026 tratta i controlli aggiuntivi (segmentazione, immutabilità, EDR, esercitazioni di ripristino).

Non pagare: perché

Le autorità (ANSSI, FBI, CISA, Europol) sconsigliano all'unanimità di pagare. Motivi:

Nessuna garanzia di recupero: 1 vittima su 4 non riceve una chiave funzionante dopo il pagamento (Sophos State of Ransomware 2024).
Finanziamento del cybercrimine: il tuo pagamento finanzia la prossima campagna.
Segnalato come bersaglio redditizio: gli attori si scambiano le liste dei paganti. Le reinfezioni sono frequenti entro 18 mesi.
Sanzioni: pagare certi gruppi (su liste OFAC, UE, ONU) può costituire reato.

Riflesso giusto: ripristinare da backup o decryptor, rafforzare, trarre le lezioni.

Risorse