Attacco Ransomware in Corso: I 7 Step da Fare nei Primi 30 Minuti

⚠️ EMERGENZA: Leggi Questo Se Sei Sotto Attacco ADESSO

Sei nel posto giusto. Questa guida ti dirà esattamente cosa fare, minuto per minuto.

IMPORTANTE: Se stai leggendo questo da un computer aziendale che potrebbe essere infetto:

1. SMETTI di usare questo dispositivo SUBITO
2. Usa il tuo smartphone personale per leggere e seguire le istruzioni
3. Non tentare soluzioni fai-da-te – ogni azione sbagliata può peggiorare la situazione

Hai bisogno di aiuto immediato? 📞 Contatta Mconnect Emergenza 24/7 – Risposta garantita entro 15 minuti

Come Riconoscere un Attacco Ransomware in Corso

Prima di agire, conferma che si tratti effettivamente di ransomware. Ecco i segnali inequivocabili:

✅ Conferma Attacco Ransomware Se Vedi:

Sintomi Immediati:

• ❌ File che non si aprono più (Excel, PDF, foto, documenti)
• ❌ Estensioni file cambiate (es. .locked, .encrypted, .crypted, .XXX)
• ❌ Icone dei file diventate tutte uguali o generiche
• ❌ Impossibile accedere a cartelle condivise di rete
• ❌ Comparsa di file README, DECRYPT, HOW_TO_RECOVER.txt

Conferma Definitiva:

• 🚨 Schermata con richiesta di riscatto
• 🚨 Messaggio che dice “I tuoi file sono stati crittografati”
• 🚨 Conto alla rovescia per il pagamento
• 🚨 Istruzioni per comprare Bitcoin

Se hai almeno 3 di questi segnali = ATTACCO RANSOMWARE CONFERMATO

Procedi immediatamente con il protocollo di emergenza.

Per ulteriori indicazioni ufficiali, consulta anche le Linee guida dell’Agenzia per la Cybersicurezza Nazionale sull’emergenza ransomware

Cronometro Attivato: I Primi 30 Minuti Critici

Ogni secondo conta. I ransomware moderni si diffondono in rete in 10-20 minuti. Segui questo protocollo ESATTAMENTE nell’ordine indicato.

MINUTO 0-2: ISOLAMENTO IMMEDIATO

❗ PRIORITÀ ASSOLUTA: Fermare la Diffusione

AZIONE 1: Disconnetti il Dispositivo Infetto (30 secondi)

Dal computer che mostra sintomi:

1. Stacca FISICAMENTE il cavo di rete Ethernet (se cablato)
2. Disattiva WiFi (non basta disconnettersi – disattiva l’adattatore)
   • Windows: Centro connessioni di rete → Disabilita WiFi
   • Mac: Preferenze Sistema → Rete → Disattiva WiFi
3. NON spegnere il computer (contiene prove importanti in RAM)

AZIONE 2: Fotografa Tutto (30 secondi)

Con il tuo smartphone personale:

• Scatta foto della schermata di riscatto
• Fotografa i file con estensioni cambiate
• Foto dell’ora esatta sulla taskbar
• Qualsiasi messaggio o finestra anomala

Queste prove saranno essenziali per:

• Identificare la variante di ransomware
• Supporto tecnico da parte di Mconnect
• Eventuale denuncia alla Polizia Postale
• Assicurazione cyber (se presente)

AZIONE 3: Isola Altri Dispositivi a Rischio (60 secondi)

Identifica rapidamente:

• Computer nelle immediate vicinanze (stesso ufficio)
• Server che condividono la stessa rete
• Computer di colleghi che hanno scambiato file recentemente
• Dispositivi collegati allo stesso NAS o storage condiviso

Disconnetti anche questi IMMEDIATAMENTE dalla rete, anche se non mostrano sintomi. Meglio precauzione che diffusione completa.

MINUTO 3-5: ALLERTA E DOCUMENTAZIONE

❗ Attiva la Catena di Comando Aziendale

AZIONE 4: Avvisa le Persone Chiave (120 secondi)

In ordine di priorità:

1. Responsabile IT/Sistemista
   • Chiamata telefonica (NON email – la posta potrebbe essere compromessa)
   • Comunicare: “Ransomware confermato su [nome PC/server], ho disconnesso dalla rete, serve intervento immediato”
2. Direzione Aziendale
   • Amministratore Delegato o Titolare
   • Responsabile Operativo
   • “Attacco informatico in corso, sistemi parzialmente bloccati, IT allertato”
3. Se NO responsabile IT interno → Chiama Partner Esterno
   • Mconnect Emergenza 24/7
   • Disponibili anche fuori orario per aziende campane
   • Intervento remoto immediato o on-site entro 2-4 ore in area Napoli

COSA COMUNICARE al supporto tecnico:

• Quanti computer/server coinvolti
• Sintomi specifici osservati
• Contenuto della nota di riscatto (leggila al telefono)
• Se i backup sono accessibili o no
• Settore aziendale (manifattura, sanità, commercio, etc.)

AZIONE 5: Documenta la Timeline (60 secondi)

Su carta o note smartphone (NON su sistemi aziendali):

• Ore XX:XX – Primo sintomo notato
• Ore XX:XX – Attacco confermato
• Ore XX:XX – Dispositivi disconnessi
• Ore XX:XX – IT allertato
• Elenco dispositivi sicuramente compromessi
• Elenco dispositivi probabilmente compromessi

MINUTO 6-10: ASSESSMENT VELOCE

❗ Capire l’Estensione del Danno

AZIONE 6: Mappatura Rapida dei Danni (180 secondi)

Con l’aiuto del responsabile IT o mentre aspetti supporto esterno:

Verifica Sistemi Critici:

✅ Server File/NAS:

• È raggiungibile? SÌ / NO
• File apribili? SÌ / NO
• Se NO → Disconnetti immediatamente

✅ Server Gestionale/ERP:

• Applicativo funziona? SÌ / NO
• Database accessibile? SÌ / NO
• Se NO → Disconnetti immediatamente

✅ Server Email:

• Posta in arrivo/uscita? SÌ / NO
• Archivi accessibili? SÌ / NO
• Se NO → Disconnetti, comunica via smartphone

✅ Backup:

• Raggiungibili? SÌ / NO
• Data ultimo backup valido: ________
• Backup offline esistente? SÌ / NO

CRUCIALE: Se i backup NON sono raggiungibili o mostrano file crittografati, l’attacco è più grave. Significa che gli attaccanti erano dentro da giorni/settimane e hanno compromesso anche i sistemi di recupero.

In questo caso diventa fondamentale avere un sistema di Disaster Recovery professionale con backup geograficamente separati e immutabili come quello di Mconnect.

Stima Rapida dell’Impatto:

Quanto dell’infrastruttura è compromessa?

• □ 1-2 computer (10-20% aziendale) = CONTENUTO
• □ 3-5 computer (30-50% aziendale) = SIGNIFICATIVO
• □ 6+ computer o server = CRITICO
• □ Backup compromessi = EMERGENZA MASSIMA

MINUTO 11-15: CONTENIMENTO ESTESO

❗ Prevenire Ulteriore Diffusione

AZIONE 7: Isolamento di Rete Completo (240 secondi)

Se l’attacco coinvolge più dispositivi o server:

Opzione A – Se Hai Accesso al Router/Firewall Aziendale:

1. Accedi all’interfaccia admin del router
2. Identifica indirizzi IP dei dispositivi compromessi
3. Blocca questi IP nelle regole firewall
4. Disattiva WiFi ospiti se presente
5. Cambia TEMPORANEAMENTE password WiFi aziendale per forzare disconnessione dispositivi

Opzione B – Se NON Hai Accesso:

1. Stacca fisicamente il cavo dal router/switch principale
2. Questo disconnette TUTTA la rete ma ferma la diffusione
3. Riconnetti solo i dispositivi verificati puliti uno alla volta

Opzione C – In Azienda Grande:

1. Contatta immediatamente il reparto IT
2. Richiedi isolamento VLAN/segmento rete colpito
3. Attivazione firewall di emergenza

Comunicazione ai Dipendenti:

Invia messaggio urgente via WhatsApp/SMS (NON email aziendale):

⚠️ URGENTE – ATTACCO INFORMATICO IN CORSO

• NON accendere PC aziendali
• NON aprire email aziendali
• NON inserire USB o dispositivi esterni
• Attendere comunicazioni da direzione
• Usare solo smartphone personali

MINUTO 16-20: IDENTIFICAZIONE RANSOMWARE

❗ Capire Cosa Ha Colpito

AZIONE 8: Identificare la Variante (240 secondi)

Conoscere il ransomware specifico è cruciale per:

• Capire se esistono decryptor gratuiti
• Valutare probabilità di recupero
• Stimare gravità (alcune varianti cancellano backup)
• Decidere strategia di risposta

Come Identificare:

1. Estensione file crittografati Esempi comuni:
   • .lockbit → LockBit ransomware
   • .alphv o .blackcat → BlackCat/ALPHV
   • .conti → Conti ransomware
   • .revil → REvil/Sodinokibi
   • .ryuk → Ryuk
2. Contenuto nota di riscatto
   • Nome gang criminale spesso menzionato
   • Link al portale TOR di negoziazione
   • Email di contatto (.onion)
3. Usa ID Ransomware (se hai accesso web sicuro)
   • Sito: id-ransomware.malwarehunterteam.com
   • Carica nota di riscatto + file crittografato
   • Identifica automaticamente la variante
   • Verifica se esiste decryptor gratuito
4. Contatta esperti Mconnect
   • Supporto tecnico con esperienza specifica
   • Database aggiornato varianti attive in Campania
   • Identificazione rapida in base a comportamento

Database Decryptor Gratuiti:

Alcuni ransomware hanno tool di decifrazione gratuiti:

• No More Ransom Project (nomoreransom.org)
• Kaspersky, Avast, Bitdefender offrono decryptor per varianti vecchie
• Emsisoft Decryptor tools

ATTENZIONE: Usare decryptor sbagliato può danneggiare ulteriormente i file. Verifica SEMPRE la variante esatta prima di usare qualsiasi tool.

MINUTO 21-25: DECISIONE STRATEGICA INIZIALE

❗ Valutare le Opzioni Disponibili

AZIONE 9: Analisi Rapida Percorsi di Recupero (240 secondi)

Con il responsabile IT e/o consulente Mconnect, valuta rapidamente:

OPZIONE A: Ripristino da Backup ✅ CONSIGLIATA

Possibile SE:

• ✅ Backup recenti (meno di 24-48 ore) esistono
• ✅ Backup sono integri e NON crittografati
• ✅ Backup sono offline o geograficamente separati
• ✅ Perdita dati accettabile (max 1-2 giorni di lavoro)

Tempistiche stimate:

• Backup locale: 2-6 ore per ripristino completo
• Disaster Recovery cloud Mconnect: 2-4 ore

VANTAGGI:

• ✅ Nessun pagamento a criminali
• ✅ Recupero garantito
• ✅ Ritorno operatività rapido
• ✅ Sistemi bonificati completamente

OPZIONE B: Tentativo Decryption Gratuita

Possibile SE:

• ✅ Variante ransomware identificata
• ✅ Esiste decryptor gratuito disponibile
• ✅ Decryptor testato e funzionante per quella variante

Tempistiche stimate:

• Test su file campione: 30 minuti
• Decifrazione completa: 4-24 ore (dipende da quantità dati)

VANTAGGI:

• ✅ Zero costi
• ✅ Nessun pagamento criminali

RISCHI:

• ⚠️ Possibilità bassa (solo 5-10% varianti hanno decryptor)
• ⚠️ Possibile danneggiamento file se decryptor errato
• ⚠️ Tempi lunghi e incerti

OPZIONE C: Negoziazione/Pagamento ❌ SCONSIGLIATA

Da considerare SOLO se:

• ❌ Zero backup disponibili
• ❌ Dati assolutamente irriproducibili
• ❌ Alternativa = fallimento aziendale
• ❌ Consulente legale e cyber concordano

SVANTAGGI:

• ❌ Nessuna garanzia di recupero (35% non recupera nulla)
• ❌ Diventi bersaglio futuro (80% riattaccato entro 12 mesi)
• ❌ Finanziamento criminalità
• ❌ Costi aggiuntivi enormi (riscatto è solo l’inizio)
• ❌ Possibile violazione sanzioni internazionali
• ❌ Danno reputazionale

Leggi l’analisi completa: Pagare o Non Pagare il Riscatto?

MINUTO 26-30: AZIONI IMMEDIATE FINALI

❗ Preparazione Intervento di Recupero

AZIONE 10: Setup per Fase di Recupero (240 secondi)

Se Hai Deciso per Ripristino da Backup:

1. Prepara ambiente pulito:
   • Identifica computer sicuramente non compromesso
   • Installa antivirus aggiornato
   • Prepara per essere workstation temporanea
2. Localizza backup:
   • Disco esterno offline → Verificalo su sistema pulito
   • NAS → Verifica accessibilità da rete isolata
   • Cloud backup → Prepara credenziali accesso
   • DR Mconnect → Contatta supporto per attivazione ripristino
3. Prioritizza sistemi da ripristinare:
   • PRIMA: Server gestionale/database
   • SECONDA: Server file condivisi
   • TERZA: Workstation critiche (amministrazione, produzione)
   • QUARTA: Workstation standard
4. Prepara team intervento:
   • Tecnici IT interni disponibili
   • Partner esterno in arrivo (Mconnect on-site se richiesto)
   • Sala riunioni o area dedicata per “war room”

Se Hai Deciso per Tentativo Decryption:

1. Download decryptor ufficiale:
   • Solo da fonti affidabili (Kaspersky, Bitdefender, Avast, Emsisoft)
   • Verifica firma digitale del file
   • Scansiona con antivirus prima di eseguire
2. Prepara test su file campione:
   • Copia 5-10 file crittografati poco importanti
   • Testa decryptor su questi prima
   • Verifica integrità file decifrati
3. Sistema di backup prima di procedere:
   • Copia TUTTI i file crittografati su disco esterno
   • Non tentare decryption sui file originali
   • Lavora sempre su copie

AZIONE 11: Comunicazioni Stakeholder (120 secondi)

Interno:

• Comunicato ai dipendenti sullo stato attacco
• Previsione tempi di ripristino (stima larga)
• Istruzioni operative temporanee
• Rassicurazioni su stipendi/continuità

Esterno (SE necessario):

• Clienti con ordini in corso → Possibili ritardi
• Fornitori critici → Temporanea indisponibilità
• Partner tecnologici → Richiesta supporto
• GDPR: Se dati personali compromessi → Notifica Garante Privacy entro 72h

AZIONE 12: Denuncia (opzionale ma consigliata) (120 secondi)

Contatta:

• Polizia Postale Napoli: 081 2417111
• Centralino per segnalazione attacco
• Possibile invio agenti per rilievi
• Numero denuncia utile per:
  • Assicurazione cyber
  • Deduzione fiscale delle perdite
  • Contributo investigazioni nazionali

MINUTI 31+: Fase di Recupero Assistita

❗ Ora Interviene il Team Tecnico

I primi 30 minuti critici sono passati. Hai:

• ✅ Fermato la diffusione
• ✅ Documentato l’attacco
• ✅ Allertato le persone giuste
• ✅ Valutato le opzioni
• ✅ Preparato il recupero

Adesso serve expertise tecnica specializzata.

Cosa Succede Nelle Prossime Ore

Ore 1-4: Bonifica e Preparazione

• Scansione completa sistemi non compromessi
• Identificazione vettore di attacco (come sono entrati?)
• Bonifica completa dispositivi compromessi
• Preparazione ambiente ripristino

Ore 4-8: Ripristino Sistemi Critici

• Ripristino database e gestionali
• Test funzionalità applicazioni
• Ripristino server file
• Verifica integrità dati

Ore 8-24: Ripristino Completo

• Tutte workstation ripristinate
• Sistemi secondari operativi
• Test completi end-to-end
• Formazione utenti su nuove procedure

Giorni 2-7: Rafforzamento Sicurezza

• Patch di tutte le vulnerabilità
• Implementazione protezioni endpoint
• Upgrade firewall aziendale
• Vulnerability Assessment completo
• Setup Disaster Recovery professionale

Come Mconnect Supporta le PMI Campane

Intervento Emergenza 24/7:

• ☎️ Disponibilità telefonica immediata
• 💻 Supporto remoto in 15 minuti
• 🚗 Intervento on-site entro 2-4 ore (area Napoli e Campania)
• 👨‍💻 Team di esperti certificati ransomware

Servizi di Emergenza:

• Contenimento attacco e analisi forense
• Identificazione variante e vettore ingresso
• Ripristino da backup o tentativo decryption
• Bonifica completa sistemi
• Ripristino operatività

Costi Intervento Emergenza:

• Supporto remoto: da 800€ (prime 4 ore)
• Intervento on-site: da 1.500€ (prime 8 ore)
• Ripristino completo: 3.000-8.000€ (a seconda complessità)

Molto meno dei 125.000-300.000€ di danno medio da ransomware.

Prevenzione per il Futuro:

Dopo aver risolto l’emergenza, è fondamentale prevenire il prossimo attacco.

Mconnect offre:

• Disaster Recovery Cloud: Backup immutabili, replica geografica, ripristino in 4 ore – da 80€/mese
• Firewall Next-Gen: Protezione perimetrale avanzata – da 150€/mese
• Endpoint Protection EDR: Protezione ransomware su PC – da 8€/mese per postazione
• Vulnerability Assessment: Verifica periodica punti deboli – da 1.500€/assessment

Investimento totale protezione PMI: 250-600€/mese Danno evitato: 200.000€+ per attacco

Checklist di Verifica Post-Intervento

Prima di considerare l’emergenza risolta, verifica che TUTTO sia stato fatto:

✅ Contenimento

• Tutti i dispositivi compromessi identificati e isolati
• Diffusione ransomware completamente fermata
• Nessun nuovo dispositivo mostra sintomi da 24 ore

✅ Documentazione

• Timeline attacco documentata completamente
• Screenshot e foto salvate
• Nota riscatto conservata (ma NON seguita)
• Variante ransomware identificata

✅ Comunicazione

• Direzione informata e aggiornata
• Dipendenti ricevuto istruzioni chiare
• Clienti/partner avvisati se necessario
• Denuncia Polizia Postale effettuata
• Notifica GDPR inviata se dati personali compromessi

✅ Ripristino

• Backup integri identificati e verificati
• Sistemi critici ripristinati e testati
• Workstation utenti ripristinate
• Dati critici verificati per integrità
• Applicazioni testate funzionanti

✅ Bonifica

• Tutti i dispositivi scansionati e puliti
• Vettore di attacco identificato
• Vulnerabilità sfruttata corretta
• Password amministrative cambiate
• Credenziali utenti resettate

✅ Prevenzione Futura

• Piano di disaster recovery implementato
• Backup automatici configurati e testati
• Protezione endpoint installata su tutti i PC
• Firewall aggiornato o sostituito
• Formazione personale su phishing programmata
• Vulnerability Assessment pianificato

Errori Critici da NON Fare

Durante un attacco ransomware, alcune azioni possono peggiorare drasticamente la situazione:

❌ NON Fare Mai:

❌ Pagare il riscatto senza consulenza esperta

• Il 35% di chi paga non recupera nulla
• Ti marchiano come “pagatore facile”
• Possibili ulteriori richieste

❌ Tentare decryption fai-da-te

• Decryptor sbagliato può corrompere file definitivamente
• Perdita permanente dei dati
• Serve expertise per identificare variante corretta

❌ Cancellare i file crittografati

• Potrebbero servire per analisi forense
• Necessari se emerge decryptor in futuro
• Utili per identificazione variante

❌ Riavviare sistemi compromessi

• Può attivare ulteriori payload
• Perde prove in memoria RAM
• Possibile diffusione accelerata

❌ Ripristinare backup senza bonifica completa

• Il ransomware si riattiva immediatamente
• Backup appena ripristinati vengono ricrittografati
• Perdita definitiva anche delle copie di backup

❌ Non denunciare per “paura di cattiva pubblicità”

• Rende impossibile recupero assicurativo
• Non contribuisce a fermare i criminali
• Perdita opportunità di supporto forze dell’ordine

❌ Usare sistemi aziendali per comunicare durante attacco

• Email aziendali potrebbero essere monitorate
• Comunicazioni interne potrebbero essere compromesse
• Usare sempre smartphone personali e app esterne

Dopo l’Emergenza: Lezioni Apprese

Un attacco ransomware è traumatico ma offre opportunità di miglioramento.

Domande da Porsi

Come sono entrati?

• Email phishing? → Serve formazione personale
• Vulnerabilità software? → Serve policy patch management
• Credenziali rubate? → Serve autenticazione 2FA
• Dispositivo infetto? → Serve controllo endpoint

Perché i backup non hanno funzionato?

• Non esistevano? → Implementa DR immediato
• Erano sulla stessa rete? → Serve separazione geografica
• Erano vecchi? → Serve automazione giornaliera
• Erano crittografati anche loro? → Serve immutabilità

Quanto tempo abbiamo perso?

• Più di 2 giorni? → DR inadeguato
• Più di 1 settimana? → Servono procedure emergenza
• Più di 2 settimane? → Rischio esistenziale – priorità assoluta cybersecurity

Quanto è costato?

• Più di 50.000€? → Investimento in prevenzione obbligatorio
• Più di 100.000€? → Valutare assicurazione cyber
• Più di 200.000€? → Rischio fallimento al prossimo attacco

Piano d’Azione Post-Attacco

Settimana 1:

• Debriefing completo team
• Documento “Lessons Learned”
• Identificazione gap di sicurezza
• Richiesta preventivi soluzioni

Settimana 2-4:

• Implementazione Disaster Recovery professionale
• Upgrade firewall e protezione perimetrale
• Installazione endpoint protection EDR
• Policy aziendali di sicurezza

Mese 2:

• Vulnerability Assessment completo
• Patch di tutte le vulnerabilità critiche
• Formazione personale su cybersecurity
• Test disaster recovery

Mese 3:

• Penetration Test per verificare difese
• Simulazione attacco per testare procedure
• Aggiornamento Business Continuity Plan
• Valutazione assicurazione cyber

Risorse di Emergenza

📞 Contatti Urgenti

Mconnect Emergenza Cybersecurity:

• 🌐 www.telemanapoli.it/contatti
• 📧 Disponibile sul sito web
• 📍 Centro Direzionale Is. G8, Napoli
• ⏰ Disponibilità 24/7 per clienti
• 🚗 Intervento on-site Napoli e Campania

Forze dell’Ordine:

• 🚔 Polizia Postale Napoli: 081 2417111
• 🇮🇹 CERT-AgID (segnalazioni nazionali): cert-nazionale.it

Risorse Decryption Gratuite:

• 🔓 No More Ransom: nomoreransom.org
• 🔍 ID Ransomware: id-ransomware.malwarehunterteam.com

📚 Guide Correlate

• Ransomware a Napoli: Guida Completa 2025
• Come Proteggere la Tua PMI dal Ransomware
• Disaster Recovery: L’Unica Difesa Efficace
• Pagare o Non Pagare il Riscatto?

Il Momento di Agire è Adesso

Se stai leggendo questo articolo PRIMA di un attacco: sei fortunato. Hai tempo per prepararti.

Se lo stai leggendo DURANTE un attacco: hai fatto la cosa giusta cercando aiuto. Segui il protocollo e contatta esperti.

Non Essere la Prossima Vittima

Il 93% delle PMI senza disaster recovery che subisce un attacco grave fallisce entro 12 mesi.

Non far parte di questa statistica.

Azione Immediata per PMI Campane

Se NON hai ancora subito attacco:

1. Richiedi assessment gratuito rischio ransomware
2. Valuta il tuo attuale livello di protezione
3. Implementa Disaster Recovery prima che sia troppo tardi
4. Costa 100-200€/mese, il danno medio è 200.000€

Se sei SOTTO ATTACCO ADESSO:

1. 📞 Chiama Mconnect Emergenza Immediatamente
2. Segui il protocollo 30 minuti sopra
3. Non pagare senza consulenza
4. Supporto disponibile 24/7

La Prevenzione Costa Meno della Cura

Costo protezione completa PMI: 3.000-8.000€/anno Costo medio attacco ransomware: 200.000€

Il ROI è evidente.

Domande Frequenti (FAQ) – Attacco Ransomware in Corso

---

Ultima revisione: Novembre 2025 Tempo lettura: 15 minuti Livello: Emergenza operativa

---

Mconnect – Sempre al tuo fianco, anche nelle emergenze più critiche

📞 Emergenza Ransomware? Contattaci ORA