Il PC di un dipendente si comporta in modo strano. I file scompaiono o cambiano nome. L'antivirus è misteriosamente disattivato. Oppure, scenario peggiore, compare una schermata che chiede un riscatto in Bitcoin. Quando un virus colpisce un computer aziendale, i primi minuti sono cruciali: le decisioni prese in quei momenti determinano se l'infezione resta confinata a un singolo PC o si propaga a tutta la rete. In questa guida vediamo esattamente cosa fare — e cosa non fare — per gestire un'infezione da malware in ambiente aziendale.
Regola d'oro: NON spegnere il PC
L'istinto di tutti è spegnere il computer infetto. Non farlo. Stacca il cavo di rete e disattiva il Wi-Fi, ma lascia il PC acceso. La memoria RAM contiene tracce forensi preziose che si perdono allo spegnimento. Alcuni ransomware completano la cifratura proprio durante il riavvio. Isolalo dalla rete, ma tienilo acceso fino all'intervento del team IT.
8 Segnali che il Tuo PC Aziendale Ha un Virus
Riconoscere un'infezione nelle prime fasi permette di limitare drasticamente i danni. Non tutti i malware si presentano con una schermata di ransomware: molti operano silenziosamente per settimane prima di attivarsi. Ecco i segnali a cui prestare attenzione:
PC improvvisamente lentissimo
AltaIl processore e la RAM sono al 100% senza motivo apparente. I programmi impiegano minuti ad aprirsi. Il malware sta usando le risorse per criptomining, cifratura file o esfiltrazione dati.
Pop-up o finestre anomale
Media-AltaCompaiono finestre pubblicitarie, avvisi di sicurezza falsi o richieste di pagamento. Tipico di adware, scareware o ransomware. Mai cliccare su questi pop-up.
File che scompaiono o cambiano estensione
CriticaDocumenti rinominati con estensioni come .encrypted, .locked, .crypt. Oppure file cancellati senza spiegazione. Segnale critico di ransomware attivo.
Traffico di rete anomalo
AltaLa connessione è lenta nonostante nessun utilizzo pesante. Il firewall registra connessioni verso IP sconosciuti. Il malware sta comunicando con il server C2 (Command & Control).
Antivirus disattivato senza motivo
CriticaL'icona dell'antivirus è sparita dalla barra di sistema o mostra errori. Molti malware avanzati disabilitano le protezioni come prima azione dopo l'infezione.
Programmi che si avviano da soli
AltaApplicazioni che si aprono e chiudono senza intervento dell'utente. Il prompt dei comandi appare brevemente. Possibile esecuzione di script malevoli o backdoor attiva.
Email inviate a tuo nome senza il tuo consenso
CriticaColleghi o clienti ricevono email sospette dal tuo indirizzo. L'attaccante ha compromesso le credenziali email e sta usando il tuo account per phishing interno.
Browser reindirizzato su siti sconosciuti
MediaLa homepage è cambiata, le ricerche vengono deviate, compaiono barre degli strumenti non installate. Tipico di browser hijacker e adware persistente.
Se noti anche solo uno di questi segnali, non ignorarlo. In ambiente aziendale, ogni minuto di ritardo può significare la compromissione di altri dispositivi. Secondo il rapporto Clusit 2025, il tempo medio di permanenza di un malware non rilevato nelle PMI italiane è di 47 giorni — quasi 7 settimane in cui l'attaccante ha accesso ai dati aziendali.
I Primi 30 Minuti: Il Protocollo di Emergenza
I primi 30 minuti dopo la scoperta di un'infezione sono decisivi. Ecco il protocollo che consigliamo a tutte le aziende clienti BullTech:
Isolare il dispositivo dalla rete (0-2 min)
Stacca il cavo ethernet. Disattiva il Wi-Fi. Se il PC è connesso via VPN, disconnettila. L'obiettivo è impedire che il malware comunichi con il server C2 e che si propaghi ad altri dispositivi tramite condivisioni di rete, Active Directory o vulnerabilità SMB. NON spegnere il PC.
Urgenza: Immediato
Avvisare l'IT / MSP (2-5 min)
Contatta il reparto IT interno o il tuo MSP. Con BullTech Always On, il numero è attivo 24/7. Descrivi esattamente cosa è successo: cosa stava facendo l'utente, cosa è apparso sullo schermo, a quali risorse di rete aveva accesso il PC infetto. Fai screenshot di tutto ciò che vedi.
Urgenza: Entro 5 min
Isolare le condivisioni di rete esposte (5-10 min)
Il team IT disabilita l'account AD dell'utente infetto, revoca le sessioni attive e verifica le condivisioni di rete a cui il PC aveva accesso. Se ci sono segnali di ransomware, valuta di mettere offline le share critiche come misura cautelativa temporanea.
Urgenza: Entro 10 min
Verificare la propagazione (10-20 min)
L'IT analizza i log del firewall, del SIEM e dell'EDR per verificare se ci sono stati movimenti laterali. Cerca connessioni anomale verso l'esterno, tentativi di accesso falliti su altri server, modifiche di file su share di rete. Se l'EDR è in uso, attiva l'isolamento automatico di tutti gli endpoint sospetti.
Urgenza: Entro 20 min
Attivare il piano di incident response (20-30 min)
Se l'infezione è confermata e potenzialmente estesa, attiva il piano di incident response formale. Definisci il team di gestione crisi, attiva i canali di comunicazione alternativi (non usare email aziendali se potenzialmente compromesse) e inizia la documentazione dell'incidente per il registro di sicurezza.
Urgenza: Entro 30 min
Conosci il Tuo Nemico: I Tipi di Malware Aziendali
Non tutti i virus sono uguali. Capire con che tipo di malware si ha a che fare è fondamentale per scegliere la strategia di bonifica corretta. Ecco i principali tipi che colpiscono le aziende italiane:
| Tipo | Come si diffonde | Danno principale | Recovery |
|---|---|---|---|
| Ransomware | Email phishing, RDP esposto, exploit kit | Cifra tutti i file e chiede riscatto | Backup o negoziazione |
| Trojan / RAT | Allegati email, download falsi, USB | Accesso remoto completo al sistema | Bonifica + cambio credenziali |
| Worm | Vulnerabilità SMB, share di rete, AD | Propagazione automatica a tutta la rete | Patching + bonifica massiva |
| Infostealer | Phishing, malvertising, browser exploit | Ruba credenziali, cookie, token di sessione | Reset totale credenziali |
| Cryptominer | Script web, container compromessi, email | Consuma CPU/GPU per mining nascosto | Bonifica + hardening |
| Rootkit | Exploit kernel, driver vulnerabili | Si nasconde nel sistema operativo | Spesso necessario reinstallare |
Il ransomware resta la minaccia più temuta per le PMI italiane, con un costo medio di recupero di 165.000 euro secondo l'ultimo rapporto Sophos. Ma gli infostealer sono in forte crescita (+87% nel 2025) e spesso passano inosservati per mesi, rubando silenziosamente credenziali che vengono poi rivendute nel dark web.
Come Avviene la Bonifica Professionale
Una volta contenuta l'emergenza, inizia la fase di bonifica vera e propria. Ecco come lavora il team di incident response di BullTech:
Analisi Forense
Analisi della memoria RAM per identificare processi malevoli attivi. Esame degli artefatti su disco: file temporanei, registro di Windows, log eventi, scheduled task sospetti. Identificazione del vettore di ingresso iniziale.
Scansione Approfondita EDR
Scansione completa con strumenti EDR enterprise (non il semplice antivirus). Analisi comportamentale dei processi, verifica delle connessioni di rete, controllo dell'integrità dei file di sistema. Ricerca di backdoor e persistenze.
Rimozione e Pulizia
Rimozione di tutti i componenti malevoli: file, chiavi di registro, servizi, scheduled task. Ripristino dei file di sistema compromessi. Verifica che non rimangano meccanismi di persistenza attivi.
Hardening Post-Bonifica
Cambio di tutte le credenziali potenzialmente compromesse. Aggiornamento di tutti i software e applicazione delle patch mancanti. Revisione delle regole del firewall. Attivazione di controlli aggiuntivi.
In alcuni casi la bonifica non è sufficiente: se il ransomware ha cifrato i file e non esiste un decryptor, o se il rootkit ha compromesso il kernel del sistema operativo, l'unica soluzione è il ripristino da backup. Per questo un backup aziendale solido con la regola 3-2-1-1-0 non è un optional: è l'ultima linea di difesa.
Prevenzione: I 5 Pilastri della Protezione Aziendale
Gestire un'infezione costa tempo, denaro e stress. Prevenirla costa molto meno. Ecco i 5 pilastri su cui costruire una protezione efficace:
EDR / Antivirus Enterprise
L'antivirus tradizionale basato su firme non basta più. Servono soluzioni EDR (Endpoint Detection & Response) che analizzano il comportamento dei processi in tempo reale, isolano automaticamente i dispositivi sospetti e offrono capacità di rollback ransomware. BullTech utilizza Bitdefender GravityZone con gestione centralizzata via console.
Scopri le nostre soluzioni antivirus enterprisePatch Management Automatico
L'80% degli attacchi sfrutta vulnerabilità note per cui esiste già una patch. Il patch management automatico garantisce che tutti i dispositivi aziendali (PC, server, firmware) siano aggiornati entro 72h dalla release di ogni patch critica. Con NinjaOne, BullTech gestisce gli aggiornamenti centralmente senza disturbare gli utenti.
Scopri il nostro endpoint managementFormazione Anti-Phishing
Il 91% degli attacchi inizia con un'email di phishing. Formare i dipendenti a riconoscere le email sospette è la misura preventiva con il miglior rapporto costo/efficacia. BullTech organizza sessioni di formazione periodiche e campagne di simulazione phishing per misurare la resilienza del team.
Come riconoscere il phishing aziendaleBackup con Regola 3-2-1-1-0
Tre copie dei dati, su due tipi di supporto diversi, di cui una offsite, una immutabile, con zero errori nei test di ripristino. Se il virus cifra tutto, un backup immutabile e testato ti permette di ripristinare l'operatività in ore anziché settimane.
Scopri il nostro servizio backup e DRSegmentazione della Rete
Una rete piatta dove tutti vedono tutto è il sogno di ogni malware. La segmentazione con VLAN, firewall interni e zero trust limita i movimenti laterali: anche se un PC viene compromesso, il malware non può raggiungere i server critici, i backup o i sistemi OT.
Scopri i nostri servizi di sicurezza ITQuanto Costa un Virus Informatico all'Azienda
Il costo di un'infezione va ben oltre la semplice bonifica tecnica. Ecco una stima realistica dei costi per una PMI da 30-100 dipendenti:
| Voce di costo | Singolo PC | Infezione di rete | Ransomware |
|---|---|---|---|
| Bonifica tecnica | 200-500 € | 2.000-10.000 € | 5.000-20.000 € |
| Downtime produttivo | 500-1.500 € | 5.000-25.000 € | 20.000-100.000 € |
| Ripristino dati | 0-500 € | 1.000-5.000 € | 5.000-30.000 € |
| Danno reputazionale | Trascurabile | Variabile | Significativo |
| Notifica GDPR (se data breach) | N/A | 500-2.000 € | 2.000-10.000 € |
| TOTALE STIMATO | 700-2.500 € | 8.500-42.000 € | 32.000-160.000 € |
Il costo nascosto: il tempo
Un'infezione da ransomware in una PMI causa in media 21 giorni di downtime. Tre settimane in cui l'azienda lavora a capacità ridotta o non lavora affatto. Per un'azienda con un fatturato di 5 milioni di euro, 21 giorni di blocco significano circa 280.000 euro di mancato fatturato. La prevenzione costa una frazione di questa cifra.
Quando Serve il Recovery da Backup
Non tutte le infezioni richiedono un ripristino completo. Ma in alcuni casi, il backup è l'unica soluzione praticabile:
- Ransomware con cifratura completa: se non esiste un decryptor pubblico e non si vuole pagare il riscatto (scelta raccomandata), il ripristino da backup è l'unica via
- Rootkit a livello kernel: quando il malware si è insediato a livello di sistema operativo, nessuna bonifica può garantire l'eliminazione completa. Serve la reinstallazione
- Compromissione dell'Active Directory: se le credenziali di Domain Admin sono state rubate, l'intero dominio potrebbe essere compromesso. In casi gravi, serve un rebuild dell'AD
- Esfiltrazione massiva di dati: anche dopo la bonifica, se i dati sono stati rubati, potrebbe servire un ripristino a uno stato precedente per capire esattamente cosa è stato sottratto
La chiave è avere un backup che funzioni davvero: immutabile (non modificabile dal ransomware), testato regolarmente (non scoprire al momento del bisogno che il ripristino fallisce) e con una retention adeguata (l'infezione potrebbe essere presente da settimane). Per approfondire, leggi la nostra guida alla regola 3-2-1-1-0 per il backup aziendale.
I 6 Errori Fatali da Evitare
Nella gestione di un'infezione, alcuni errori possono trasformare un problema contenibile in un disastro:
Spegnere o riavviare il PC infetto
Cancella le tracce forensi in RAM. Alcuni ransomware completano la cifratura al riavvio. Alcuni worm si propagano proprio durante il boot. Isola dalla rete, ma non spegnere.
Provare a rimuovere il virus da soli con tool gratuiti
Tool come Malwarebytes Free o scansioni rapide di Windows Defender non trovano malware avanzati (fileless, rootkit, RAT). Peggiorano la situazione dando una falsa sensazione di sicurezza.
Pagare il riscatto ransomware
Nel 2025, solo il 62% di chi paga riceve effettivamente il decryptor. Pagare finanzia i criminali e rende l'azienda un bersaglio per attacchi futuri. Inoltre, potrebbe violare le normative anti-riciclaggio.
Non comunicare l'incidente al management
Nascondere un'infezione per evitare rimproveri è la ricetta per il disastro. Il management deve sapere: potrebbe essere necessaria una notifica GDPR entro 72h, e la NIS2 impone la segnalazione all'ACN entro 24h.
Riconnettere il PC alla rete prima della bonifica completa
Un PC ancora infetto che viene riconnesso alla rete ricomincia a propagare il malware. La bonifica deve essere completa e verificata prima di qualsiasi riconnessione.
Non cambiare le credenziali dopo la bonifica
Se il malware ha rubato le password (e quasi tutti lo fanno), le credenziali vecchie sono compromesse. Serve un reset completo: password utente, account di servizio, token API, certificati.
Come BullTech Ti Protegge dai Virus Informatici
Con il servizio Always On di BullTech, la protezione dai virus è proattiva, non reattiva. Ecco cosa include:
EDR Bitdefender GravityZone
Protezione endpoint di livello enterprise su tutti i dispositivi, con analisi comportamentale, rollback ransomware e isolamento automatico delle minacce.
Patch Management Automatico
Aggiornamenti centralizzati via NinjaOne: sistema operativo, browser, applicazioni, firmware. Patch critiche applicate entro 72h dalla release.
Monitoraggio 24/7 e Alerting
Il nostro NOC monitora in tempo reale tutti gli endpoint. Alert automatici su comportamenti anomali, tentativi di disabilitazione antivirus, traffico sospetto.
Incident Response Incluso
In caso di infezione, la bonifica è inclusa nel canone. Intervento entro 30 minuti durante l'orario lavorativo, entro 2 ore fuori orario. Nessun costo aggiuntivo a sorpresa.
Domande Frequenti sui Virus Informatici in Azienda
Come capisco se il mio PC aziendale ha un virus?
I segnali principali sono: rallentamento improvviso e inspiegabile, programmi che si aprono o chiudono da soli, pop-up anomali, ventole sempre al massimo, file che scompaiono o cambiano estensione, traffico di rete anomalo, antivirus disattivato senza motivo. Nei casi più gravi, potresti vedere una richiesta di riscatto (ransomware) o perdere completamente l'accesso al sistema.
Devo spegnere subito il computer se ha un virus?
No, non spegnere il computer. Stacca il cavo di rete e disattiva il Wi-Fi per isolarlo, ma lascialo acceso. Molti malware lasciano tracce forensi nella memoria RAM che si perdono allo spegnimento. Inoltre, alcuni ransomware completano la cifratura proprio durante il riavvio. L'importante è togliere la connessione di rete per impedire la propagazione e l'esfiltrazione di dati.
Quanto costa una bonifica professionale da virus in azienda?
Il costo varia in base alla gravità. Una bonifica singolo PC costa tra 200 e 500 euro. Se l'infezione si è propagata alla rete, il costo sale a 2.000-10.000 euro per analisi forense, bonifica di tutti i dispositivi e hardening. Un attacco ransomware con necessità di ripristino può costare 5.000-50.000 euro. Con un contratto MSP come BullTech Always On, la bonifica è inclusa nel canone mensile.
L'antivirus gratuito è sufficiente per un'azienda?
No, assolutamente. Gli antivirus gratuiti (Windows Defender in configurazione base, Avast Free, AVG) non offrono protezione EDR, non hanno gestione centralizzata, non forniscono report di compliance e mancano di funzionalità critiche come il rollback ransomware, l'isolamento automatico e la threat intelligence in tempo reale. Per un'azienda servono soluzioni enterprise come Bitdefender GravityZone, SentinelOne o CrowdStrike con gestione centralizzata via console.
Come posso prevenire i virus informatici in azienda?
La prevenzione efficace si basa su 5 pilastri: (1) EDR/antivirus enterprise su tutti gli endpoint gestiti centralmente, (2) patch management automatico con aggiornamenti entro 72h dalle release critiche, (3) formazione anti-phishing periodica per tutti i dipendenti, (4) backup regolari con regola 3-2-1-1-0 e test di ripristino, (5) segmentazione della rete per limitare i movimenti laterali. Un MSP come BullTech implementa tutti questi controlli nel servizio Always On.