Ransomware Incident Response — Contenimento, Decrittazione e Recovery per PMI senza Pagare
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
Sicurezza Informatica

Ransomware Incident Response — Contenimento, Decrittazione e Recovery per PMI senza Pagare

[2026-07-18] Author: Ing. Calogero Bono
> condividi
Zenithby Meteora Web Il sistema operativo della tua attività. Social, clienti, prenotazioni e fatture in un'unica piattaforma. Palestre, barber, professionisti. Scopri Zenith Demo gratis · senza carta

Sei arrivato in ufficio e trovi i file rinominati con estensione .encrypted. Sul desktop un file README_DECRYPT.txt ti chiede 10.000 euro in Bitcoin. Il server ERP, il gestionale, i dati dei clienti: tutto bloccato. Il telefono non smette di squillare.

No, non è un film. Succede ogni giorno a piccole e medie imprese che, fino a un'ora prima, pensavano “a noi non capita”. Noi di Meteora Web abbiamo visto decine di scenari del genere. Non sempre si recupera tutto, ma nella maggior parte dei casi si può uscire senza pagare — se si conoscono i passaggi giusti nei primi minuti.

Questa guida ti porta dentro un Ransomware Incident Response reale: contenimento rapido, identificazione della variante, tentativi di decrittazione e recovery pulito. Zero teoria da manuale. Solo azioni che puoi eseguire subito — e che ti evitano di diventare l’ennesima vittima che finisce in cronaca.

Come si gestisce un incidente ransomware in fase di contenimento?

Il contenimento è tutto. I primi 10 minuti decidono se il danno rimane su un server o si estende a tutta la rete. L’errore più comune? Spegnere tutto di botto. Non farlo: molti ransomware persistono in memoria e, se interrompi bruscamente, perdi la possibilità di capire cosa è successo e magari di decrittare.

Step 1: Isola il paziente zero

Individua il primo host colpito (di solito un PC condiviso o un server RDP esposto). Scollegalo fisicamente dalla rete: stacca il cavo ethernet, non solo il Wi-Fi. Se è una macchina virtuale, scollega la vNIC dall’hypervisor. L’obiettivo è fermare la propagazione laterale.

Sponsored Protocol

# Blocca rapidamente il traffico verso IP sospetti tramite iptables
# (esegui su un gateway o sul firewall di rete)
iptables -A FORWARD -d 185.xxx.xxx.xxx -j DROP
iptables -A OUTPUT -d 185.xxx.xxx.xxx -j DROP

Attenzione: non cancellare i file encryptati. Conservali per l’analisi forense e per provare i decrypter.

Step 2: Fotografa la scena del crimine

Prima di qualsiasi recovery, documenta: data/ora del rilevamento, messaggio di riscatto (fai screenshot), estensione dei file cifrati, eventuali note lasciate dal malware. Carica il file di riscatto su ID Ransomware: in pochi secondi identifica la famiglia ransomware e, spesso, ti dice se esiste un decrypter gratuito.

Step 3: Cambia tutte le credenziali di accesso

Il ransomware probabilmente è entrato tramite una password debole o un account compromesso. Cambia subito le password di amministratori di dominio, RDP, FTP, pannelli di hosting. Usa password lunghe (>16 caratteri) e attiva l’MFA su tutto ciò che è critico.

Errore da evitare: non pagare. Anche se il riscatto sembra basso, pagare non garantisce la decrittazione — e finanzia il prossimo attacco. Inoltre, in Italia, pagare un riscatto informatico potrebbe configurare il reato di finanziamento al terrorismo (circolare Bankitalia). Denuncia sempre alla Polizia Postale.

Sponsored Protocol

Quali strumenti di decrittazione esistono e come usarli?

Non tutti i ransomware sono indistruttibili. Molte varianti hanno debolezze crittografiche note: chiavi generate in modo prevedibile, implementazioni sbagliate, backdoor lasciate dagli autori. Esistono progetti come No More Ransom (coordinato da Europol) e database indipendenti che raccolgono decrypter gratuiti.

Decrypter ufficiali e community

  • No More Ransom (NMR): Piattaforma ufficiale con oltre 100 decrypter. Inserisci l’estensione dei file cifrati (es. .encrypted, .locked, .crypt) e scarichi lo strumento corrispondente.
  • Avast, Kaspersky, Emsisoft: offrono decrypter per famiglie comuni (Stop/Djvu, GandCrab, REvil, Maze).
  • ID Ransomware già citato: oltre all’identificazione, fornisce link diretti ai decrypter disponibili.

Procedura operativa per eseguire un decrypter

  1. Esegui lo scanner su una copia forense dei file, non sull’originale. Usa un ambiente isolato (macchina virtuale senza accesso alla rete).
  2. Testa un file campione. Se il decrypt funziona, procedi su tutti i file.
  3. Prima di eseguire, disabilita antivirus e firewall (possono interferire).
  4. Se il decrypter richiede una chiave privata (es. per RSA), non tentare di forzarla — è matematicamente impossibile. Concentrati sul ripristino da backup.
# Esempio di comando per Emsisoft Decrypter per Stop/Djvu
# (dopo aver scaricato l'eseguibile ufficiale)
./emsisoft_decryptor_stopdjvu -d /mnt/backup/encrypted -o /mnt/recovered

Nota bene: I decrypter funzionano solo su specifiche varianti. Se il ransomware è una variante sconosciuta o con crittografia asimmetrica solida (AES-256 + RSA-4096), le probabilità di decrittazione senza chiave sono nulle. In quel caso, il recovery passa solo dai backup.

Sponsored Protocol

Come recuperare i dati dopo un attacco ransomware senza pagare?

Se la decrittazione non è possibile, il piano B è il ripristino da backup. Ma attenzione: i ransomware moderni cercano anche di eliminare le copie shadow, i backup di rete e i volumi condivisi. Per questo la strategia 3-2-1 è obbligatoria: 3 copie, 2 supporti diversi, 1 copia offline (immutabile).

Verifica l’integrità dei backup prima di ripristinare

Molte vittime scoprono che i backup erano crittografati insieme ai dati originali. Ecco come controllare velocemente:

  • Se il backup è su un NAS con accesso in scrittura dalla rete, probabilmente è compromesso.
  • Se è su nastro o su cloud con versioning e immutabilità (es. Backblaze B2 con Object Lock, AWS S3 con versioning e MFA delete), è quasi certamente pulito.
  • Monta il backup in un ambiente isolato e verifica che i file siano leggibili.

Procedura di ripristino sicura

  1. Formatta e reinstalla da zero i sistemi colpiti. Non ripristinare su un sistema potenzialmente infetto.
  2. Aggiorna tutto il software, applica le patch di sicurezza e disabilita i servizi non necessari (soprattutto RDP esposto su internet).
  3. Ripristina i dati da backup pulito. Se usi rsync:
    rsync -av --delete /mnt/backup-clean/ /var/www/html/
  4. Prima di tornare in produzione, fai un test di riconnessione: monitora i log per 24 ore per rilevare eventuali tracce residue.

Alternative avanzate: Shadow Copy e file system journal

Se il ransomware non ha cancellato le copie shadow di Windows (succede per varianti low-level), puoi provare a recuperare versioni precedenti. Comando da eseguire su un PC compromesso (prima di spegnerlo):

Sponsored Protocol

vssadmin list shadows
# Se ci sono copie, esporta con:
vssadmin create shadow /for=C:
shadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Ma attenzione: molti ransomware eseguono vssadmin delete shadows /all /quiet. Se vedi questo nel log, le shadow copy sono perse.

Quale piano di incident response ransomware preparare prima dell'attacco?

La migliore difesa è un piano scritto, testato e conservato offline. Noi di Meteora Web aiutiamo le PMI a mettere in piedi un Ransomware Incident Response Plan che costa meno di un riscatto. Ecco cosa deve contenere:

  • Runbook di contenimento: chi chiama, in che ordine, quali switch fisici staccare.
  • Elenco dei contatti: fornitore IT, Polizia Postale, assicurazione cyber.
  • Backup immutabili: una copia offline settimanale su disco rimovibile o cloud immutabile.
  • Esercitazioni periodiche: simulazioni di attacco (tabletop).
  • Strumenti preinstallati: porta una VM con ID Ransomware, decrypter e tool di analisi, sempre aggiornata.

Abbiamo scritto un articolo correlato su strumenti di phishing simulation per prevenire l’ingresso del ransomware. E per la gestione della catena di fornitura, leggi la nostra guida su Registro Fornitori NIS2.

Sponsored Protocol

Cosa fare adesso

  1. Verifica subito i tuoi backup. La regola 3-2-1 è la differenza tra un week-end di lavoro e la chiusura dell’azienda.
  2. Identifica i tuoi servizi esposti. RDP, FTP, pannelli admin: se sono su IP pubblici, chiudili o proteggili con VPN e MFA.
  3. Scarica e tieni aggiornato il tool di ID Ransomware su un supporto offline (es. chiavetta USB).
  4. Stampa il runbook di contenimento e tienilo in sala server. Sì, cartaceo. Quando il sistema è cifrato, non puoi aprire PDF.
  5. Contatta un team di Incident Response prima di averne bisogno. Noi di Meteora Web siamo disponibili per audit e piani personalizzati.

Il ransomware non è una fatalità. Si contiene. Si decripta (a volte). Si recupera. Ma solo se sai esattamente cosa fare nei primi minuti. Noi lo facciamo ogni giorno. Se hai dubbi, parliamone.

> condividi
Ing. Calogero Bono

> AUTHOR_EXTRACTED

Ing. Calogero Bono

Ingegnere informatico, fondatore di Meteora Web e Zenith OS. System administrator e progettista di piattaforme, app e CMS proprietari, con esperienza in sviluppo full-stack, marketing digitale ed ecosistema Google.
[ Read Full Dossier ]

> METEORA_WEB // WEB AGENCY

Costruiamo la presenza digitale che la tua azienda merita.

Siti web, social, pubblicità online, e-commerce e hosting performante: ingegnerizzati con metodo da ingegneri informatici a Sciacca, per tutta Italia.

> MW_JOURNAL

> READ_ALL()