Un attacco ransomware non è sempre immediato o evidente come nei film. Spesso agisce in silenzio prima di palesarsi. Riconoscere i primi segnali può fare la differenza tra una perdita totale di dati e il ripristino del sistema.
In sintesi
- Segnali chiave: Estensioni dei file modificate, lentezza anomala, messaggi di riscatto (README.txt) e account bloccati.
- Cosa NON fare: Non pagare il riscatto e non riavviare compulsivamente il sistema.
- Azione prioritaria: Isolare il dispositivo dalla rete (scollegare Wi-Fi o cavo LAN) per fermare la propagazione.
Che cos’è un ransomware?
Il ransomware è un software malevolo (malware) progettato per bloccare l’accesso ai file o all’intero sistema informatico tramite crittografia. Una volta “sequestrati” i dati, i criminali informatici chiedono il pagamento di un riscatto (solitamente in criptovalute) in cambio della chiave di decriptazione.
I segnali per capire se sei sotto attacco
Se sospetti un’intrusione, osserva questi indicatori specifici:
- Ransomware cosa fare in caso di attacco
- Come è possibile mitigare i danni di un attacco ransomware
- Esiste una relazione tra il phishing e il ransomware
1. Estensioni dei file sconosciute
Il segnale più comune è il cambiamento del nome dei file. Ad esempio, un documento chiamato progetto.pdf potrebbe diventare progetto.pdf.locky o progetto.pdf.[stringa-casuale]. Se non riesci più ad aprire i tuoi documenti abituali, questo è un campanello d’allarme critico.
2. Comparsa di file di testo “Riscatto”
Controlla se nelle cartelle principali o sul desktop sono comparsi nuovi file chiamati DECRYPT_INSTRUCTIONS.txt, READ_ME.html o simili. Questi contengono le istruzioni dei pirati informatici.
3. Rallentamento estremo del sistema
La crittografia richiede un uso massiccio delle risorse del computer (CPU e disco). Se il PC diventa improvvisamente lentissimo e le ventole girano al massimo senza motivo apparente, potrebbe essere in corso la cifratura dei dati.
4. Software di sicurezza disattivati
Molti ransomware moderni tentano di disabilitare l’antivirus o i servizi di Windows Shadow Copy (che gestiscono i punti di ripristino) per impedire il recupero facile dei dati.
Cosa fare subito: Checklist di emergenza
Se hai confermato l’attacco, agisci con freddezza seguendo questi passaggi:
- Isolamento immediato: Disconnetti il dispositivo da Internet e da qualsiasi rete locale (LAN). Stacca il cavo ethernet o spegni il router. Questo impedisce al malware di infettare altri dispositivi o server cloud collegati.
- Identificazione: Fotografa il messaggio di riscatto con lo smartphone. Ti servirà per la denuncia e per identificare il tipo di ceppo (variante) del ransomware.
- Non pagare: Pagare non garantisce la restituzione dei dati e finanzia il crimine organizzato. Inoltre, una vittima che paga viene spesso colpita nuovamente.
- Verifica i backup: Controlla (da un dispositivo pulito) se i tuoi backup offline o in cloud sono integri e non sono stati raggiunti dall’attacco.
- Segnalazione: Contatta la Polizia Postale o un esperto di cybersecurity per procedere con la denuncia e i tentativi di recupero.
FAQ – Domande frequenti
Posso decriptare i file da solo? Dipende dalla variante. Esistono progetti come No More Ransom che offrono tool gratuiti per alcune versioni specifiche, ma non sempre è possibile senza la chiave originale.
Il mio antivirus non doveva fermarlo? Gli antivirus sono efficaci, ma i nuovi ransomware (“Zero-day”) usano tecniche mai viste prima per eludere i controlli. La prevenzione umana resta il miglior filtro.
Basta formattare il PC per risolvere? La formattazione elimina il virus, ma non recupera i file criptati. I file rimarranno illeggibili a meno che non si disponga di un backup.
