Hai appena ricevuto una mail dall'indirizzo sbagliato. Il telefono squilla. Il cliente ti dice che non riesce ad aprire i file. Poi arriva la schermata rossa: "Tutti i tuoi dati sono criptati. Paghi 5.000 euro in Bitcoin entro 48 ore o perdi tutto." No, non è un film. Succede ogni giorno a piccole imprese italiane come la tua. Noi, di Meteora Web, lo vediamo quando arrivano progetti in recovery dopo un attacco. E la prima verità è dura: chi paga il riscatto spesso non riottiene indietro i dati. Perché il ransomware non è solo un virus: è un meccanismo preciso, e capire come funziona è il primo passo per non farsi travolgere.
Questa guida è nata per chi non ha un reparto IT interno, per chi gestisce un e-commerce, uno studio professionale, un negozio con un gestionale online. Parliamo di prevenzione concreta — domini da aggiornare, backup da fare, software da configurare — e di cosa fare se il peggio accade. Zero teorica, solo operatività.
Come funziona il ransomware? Il meccanismo in tre fasi
Il ransomware non compare per magia. Segue una sequenza precisa. Se la capisci, la riconosci prima che sia troppo tardi.
Fase 1 — Infiltrazione. Il ransomware entra di solito tramite una mail di phishing (un allegato malevolo, un link fasullo) o sfruttando una vulnerabilità nota ma non ancora aggiornata — un plugin WordPress vecchio, un server con RDP esposto sulla porta 3389 con password debole. Fase 2 — Esecuzione e diffusione. Una volta dentro, il malware si connette a un server di comando e controllo (C2) e riceve le istruzioni. Cripta i file locali e, se trova risorse di rete, tenta di propagarsi ad altri PC, server, backup connessi. Fase 3 — Richiesta riscatto. Il sistema visualizza un messaggio con la richiesta di pagamento, di solito in criptovaluta, e un timer. Se non paghi entro il termine, il riscatto sale o i file vengono distrutti.
Sponsored Protocol
Un errore comune da evitare: pensare che "tanto a me non capita". Secondo i report di Cybersecurity & Infrastructure Security Agency (CISA) e le nostre esperienze, le piccole imprese sono il bersaglio preferito proprio perché hanno meno difese. Noi abbiamo visto un cliente agricolo perdere il database dei conferimenti perché il backup era sullo stesso server. Non è un caso estremo.
Operativamente: apre un prompt dei comandi su Windows (cmd) e digita netstat -an | findstr :3389. Se vedi righe con stato LISTENING e indirizzo IP non locale, il tuo RDP è esposto pubblicamente. Fermalo subito — disabilita la condivisione desktop remota nelle impostazioni di sistema o bloccalo sul firewall.
Prevenzione ransomware: cosa fare oggi per non pagare domani
La prevenzione non è un progetto da 50.000 euro. È una lista di azioni concrete che qualsiasi PMI può implementare in un pomeriggio. Partiamo da quello che fa la differenza.
Sponsored Protocol
Backup 3-2-1: l'unica assicurazione che funziona
3 copie dei dati, su 2 supporti diversi, di cui 1 offline (non connesso al computer o alla rete). Sembra semplice, ma quanti hanno un backup su disco esterno che stacca fisicamente dopo il backup? Noi di Meteora Web lo chiediamo sempre: il backup su cloud sincronizzato (tipo Google Drive) non serve se il ransomware lo cripta insieme ai file originali. Il backup offline (es. hard disk esterno collegato solo per il backup e poi scollegato) è l'unico che regge un attacco. Usa uno script automizzato o uno strumento come Veeam Agent Free per backup programmati su unità rimovibile.
Aggiornamenti software: il buco più sfruttato
Plugin di WordPress, moduli di Joomla, versioni di PHP, librerie di sistema. Ogni giorno vengono scoperti zero-day. Microsoft rilascia patch il secondo martedì del mese. Noi impostiamo aggiornamenti automatici per WordPress (tramite wp-config con define('WP_AUTO_UPDATE_CORE', true);) e monitoriamo i plugin con un servizio come WPScan. Per i server Linux, configuriamo unattended-upgrades per gli aggiornamenti di sicurezza.
Controllo degli accessi e segmentazione di rete
Un dipendente non ha bisogno di accesso amministrativo al server. Una cassiera non deve poter scrivere sul database dei prezzi. Usa il principio del minimo privilegio. Segmenta la rete: il PC della cassa non deve vedere il server contabile. Se il ransomware infetta un PC, non si propaga oltre. Sui sistemi Windows, imposta account utente standard (non admin) per le attività quotidiane e usa account amministratore solo per installazioni.
Sponsored Protocol
Formazione anti-phishing: il filtro umano
Il 90% degli attacchi ransomware inizia con un click su una mail. Noi organizziamo mini-sessioni di 30 minuti con i clienti: mostriamo una mail phishing vera e una lecita, spieghiamo come riconoscere l'URL (passa il mouse sul link prima di cliccare), come controllare il dominio del mittente, cosa fare se si sospetta. Non serve un corso costoso: bastano regole semplici e un canale Slack o WhatsApp per segnalare mail sospette.
Cosa fare se sei stato colpito da un ransomware
La schermata rossa è apparsa. Hai già fatto tutto male? No, adesso bisogna agire con ordine. Il panico è il peggior nemico.
Fermo tutto: isola il sistema infetto
Stacca fisicamente il cavo di rete del computer colpito. Se è un server, spegnilo (ma valuta se serve conservare la memoria volatile per le indagini forensi). La priorità è impedire che si diffonda ad altri dispositivi. Non tentare di cancellare il malware, non riavviare a caso: potresti peggiorare la situazione.
Non pagare il riscatto
Lo diciamo chiaro: pagare non è garanzia di riavere i dati. Secondo i report di FBI e Cybersecurity Ventures, circa il 30-40% di chi paga non recupera nulla, e chi recupera spesso riceve file corrotti. Inoltre, pagare finanzia i criminali e ti mette in una lista di "bersagli disponibili". Noi abbiamo un cliente che pagò 3.000 euro: dopo il pagamento il riscatto salì a 10.000, minacciando di pubblicare i dati rubati. Non pagare.
Sponsored Protocol
Valuta i backup offline
Se hai seguito il punto 2, hai una copia offline. Collega il disco esterno (dopo aver scollegato il PC dalla rete!), estrai i dati e ripristina su un sistema pulito. Se non hai backup offline, non provare a ripristinare da backup online: se il ransomware ha criptato anche quelli, potresti rendere illeggibile anche l'ultima copia. In questo caso, contatta un professionista di recovery dati (ma i costi possono essere alti e le probabilità basse).
Segnala l'attacco alle autorità
In Italia, la Polizia Postale ha una divisione specializzata per il cybercrime. Segnala l'incidente, fornisci il messaggio di riscatto, gli hash dei file (se puoi). Aiuta a tracciare i criminali e a prevenire altri attacchi.
Ripristina il sistema da zero
Non fidarti mai del sistema infettato, anche se riesci a rimuovere il ransomware. Reinstalla il sistema operativo da una fonte pulita, ripristina i dati dai backup offline, cambia tutte le password (amministratore, email, database, social, ecc.). Noi consigliamo di generare password complesse con un gestore come Bitwarden e abilitare l'autenticazione a due fattori (2FA) su tutti i servizi.
Cosa fare adesso
Non aspettare un attacco per mettere in pratica queste indicazioni. Prendi 30 minuti questo pomeriggio:
Sponsored Protocol
- Controlla se hai un backup offline. Se non lo hai, compra un hard disk esterno e configura un backup automatico settimanale.
- Verifica aggiornamenti. Accedi al tuo sito WordPress o al gestionale e aggiorna tutto. Imposta aggiornamenti automatici di sicurezza.
- Disabilita RDP pubblico. Se non ti serve l'accesso remoto, spegnilo. Se serve, usa una VPN.
- Fai un inventario degli account. Elimina account inutilizzati, rafforza le password, attiva 2FA.
- Programma una sessione di formazione anti-phishing per te e i tuoi collaboratori. Bastano 20 minuti.
La sicurezza informatica non è un costo: è un investimento che ti evita di perdere giorni di lavoro, clienti e reputazione. Come diciamo sempre: un sito si misura in fatturato, non in complimenti. E un attacco ransomware azzera il fatturato in poche ore.
Vuoi approfondire la strategia di sicurezza per la tua azienda? Leggi la nostra guida pillar sulla cybersecurity per utenti e aziende, di cui questo articolo fa parte. E se hai bisogno di una verifica concreta del tuo ambiente digitale, contattaci: facciamo un audit di sicurezza senza impegno, con gli stessi strumenti che usiamo per i nostri clienti.
Risorse utili:
- CISA StopRansomware — guide ufficiali in inglese
- NoMoreRansom — strumenti gratuiti per decriptare alcuni ransomware