Il PC di un collega si blocca. I file hanno nomi assurdi. L'antivirus è sparito dalla barra. Oppure, scenario da incubo: sullo schermo compare una richiesta di riscatto in Bitcoin. Quando un virus colpisce un computer aziendale, i primi minuti fanno tutta la differenza: quello che decidi in quei momenti determina se l'infezione resta su un solo PC o si mangia tutta la rete. In questa guida ti spieghiamo passo passo cosa fare — e cosa non fare assolutamente — quando un malware colpisce la tua azienda.
Regola d'oro: NON spegnere il PC
L'istinto di tutti è spegnere il computer infetto. Non farlo. Stacca il cavo di rete e disattiva il Wi-Fi, ma lascia il PC acceso. La memoria RAM contiene tracce forensi preziose che si perdono allo spegnimento. Alcuni ransomware completano la cifratura proprio durante il riavvio. Isolalo dalla rete, ma tienilo acceso fino all'intervento del team IT.
8 Segnali che il Tuo PC Aziendale Ha un Virus
Riconoscere un'infezione nelle prime fasi permette di limitare drasticamente i danni. Non tutti i malware si presentano con una schermata di ransomware: molti operano silenziosamente per settimane prima di attivarsi. Ecco i segnali a cui prestare attenzione:
PC improvvisamente lentissimo
AltaIl processore e la RAM sono al 100% senza motivo apparente. I programmi impiegano minuti ad aprirsi. Il malware sta usando le risorse per criptomining, cifratura file o esfiltrazione dati.
Pop-up o finestre anomale
Media-AltaCompaiono finestre pubblicitarie, avvisi di sicurezza falsi o richieste di pagamento. Tipico di adware, scareware o ransomware. Mai cliccare su questi pop-up.
File che scompaiono o cambiano estensione
CriticaDocumenti rinominati con estensioni come .encrypted, .locked, .crypt. Oppure file cancellati senza spiegazione. Segnale critico di ransomware attivo.
Traffico di rete anomalo
AltaLa connessione è lenta nonostante nessun utilizzo pesante. Il firewall registra connessioni verso IP sconosciuti. Il malware sta comunicando con il server C2 (Command & Control).
Antivirus disattivato senza motivo
CriticaL'icona dell'antivirus è sparita dalla barra di sistema o mostra errori. Molti malware avanzati disabilitano le protezioni come prima azione dopo l'infezione.
Programmi che si avviano da soli
AltaApplicazioni che si aprono e chiudono senza intervento dell'utente. Il prompt dei comandi appare brevemente. Possibile esecuzione di script malevoli o backdoor attiva.
Email inviate a tuo nome senza il tuo consenso
CriticaColleghi o clienti ricevono email sospette dal tuo indirizzo. L'attaccante ha compromesso le credenziali email e sta usando il tuo account per phishing interno.
Browser reindirizzato su siti sconosciuti
MediaLa homepage è cambiata, le ricerche vengono deviate, compaiono barre degli strumenti non installate. Tipico di browser hijacker e adware persistente.
Se noti anche solo uno di questi segnali, non ignorarlo. In ambiente aziendale, ogni minuto di ritardo può significare la compromissione di altri dispositivi. Secondo il rapporto Clusit 2025, il tempo medio di permanenza di un malware non rilevato nelle PMI italiane è di 47 giorni — quasi 7 settimane in cui l'attaccante ha accesso ai dati aziendali.
I Primi 30 Minuti: Il Protocollo di Emergenza
I primi 30 minuti dopo la scoperta di un'infezione sono decisivi. Ecco il protocollo che consigliamo a tutte le aziende clienti BullTech:
Isolare il dispositivo dalla rete (0-2 min)
Stacca il cavo ethernet. Disattiva il Wi-Fi. Se il PC è connesso via VPN, disconnettila. L'obiettivo è impedire che il malware comunichi con il server C2 e che si propaghi ad altri dispositivi tramite condivisioni di rete, Active Directory o vulnerabilità SMB. NON spegnere il PC.
Urgenza: Immediato
Avvisare l'IT / MSP (2-5 min)
Contatta il reparto IT interno o il tuo MSP. Con BullTech Always On, il numero è attivo 24/7. Descrivi esattamente cosa è successo: cosa stava facendo l'utente, cosa è apparso sullo schermo, a quali risorse di rete aveva accesso il PC infetto. Fai screenshot di tutto ciò che vedi.
Urgenza: Entro 5 min
Isolare le condivisioni di rete esposte (5-10 min)
Il team IT disabilita l'account AD dell'utente infetto, revoca le sessioni attive e verifica le condivisioni di rete a cui il PC aveva accesso. Se ci sono segnali di ransomware, valuta di mettere offline le share critiche come misura cautelativa temporanea.
Urgenza: Entro 10 min
Verificare la propagazione (10-20 min)
L'IT analizza i log del firewall, del SIEM e dell'EDR per verificare se ci sono stati movimenti laterali. Cerca connessioni anomale verso l'esterno, tentativi di accesso falliti su altri server, modifiche di file su share di rete. Se l'EDR è in uso, attiva l'isolamento automatico di tutti gli endpoint sospetti.
Urgenza: Entro 20 min
Attivare il piano di incident response (20-30 min)
Se l'infezione è confermata e potenzialmente estesa, attiva il piano di incident response formale. Definisci il team di gestione crisi, attiva i canali di comunicazione alternativi (non usare email aziendali se potenzialmente compromesse) e inizia la documentazione dell'incidente per il registro di sicurezza.
Urgenza: Entro 30 min
Conosci il Tuo Nemico: I Tipi di Malware Aziendali
Non tutti i virus sono uguali. Capire con che tipo di malware si ha a che fare è fondamentale per scegliere la strategia di bonifica corretta. Ecco i principali tipi che colpiscono le aziende italiane:
| Tipo | Come si diffonde | Danno principale | Recovery |
|---|---|---|---|
| Ransomware | Email phishing, RDP esposto, exploit kit | Cifra tutti i file e chiede riscatto | Backup o negoziazione |
| Trojan / RAT | Allegati email, download falsi, USB | Accesso remoto completo al sistema | Bonifica + cambio credenziali |
| Worm | Vulnerabilità SMB, share di rete, AD | Propagazione automatica a tutta la rete | Patching + bonifica massiva |
| Infostealer | Phishing, malvertising, browser exploit | Ruba credenziali, cookie, token di sessione | Reset totale credenziali |
| Cryptominer | Script web, container compromessi, email | Consuma CPU/GPU per mining nascosto | Bonifica + hardening |
| Rootkit | Exploit kernel, driver vulnerabili | Si nasconde nel sistema operativo | Spesso necessario reinstallare |
Il ransomware resta la minaccia più temuta per le PMI italiane, con un costo medio di recupero di 165.000 euro secondo l'ultimo rapporto Sophos. Ma gli infostealer sono in forte crescita (+87% nel 2025) e spesso passano inosservati per mesi, rubando silenziosamente credenziali che vengono poi rivendute nel dark web.
Come Avviene la Bonifica Professionale
Una volta contenuta l'emergenza, si passa alla bonifica vera e propria. Ecco come lavora il nostro team quando interviene:
Analisi Forense
Analisi della memoria RAM per identificare processi malevoli attivi. Esame degli artefatti su disco: file temporanei, registro di Windows, log eventi, scheduled task sospetti. Identificazione del vettore di ingresso iniziale.
Scansione Approfondita EDR
Scansione completa con strumenti EDR enterprise (non il semplice antivirus). Analisi comportamentale dei processi, verifica delle connessioni di rete, controllo dell'integrità dei file di sistema. Ricerca di backdoor e persistenze.
Rimozione e Pulizia
Rimozione di tutti i componenti malevoli: file, chiavi di registro, servizi, scheduled task. Ripristino dei file di sistema compromessi. Verifica che non rimangano meccanismi di persistenza attivi.
Hardening Post-Bonifica
Cambio di tutte le credenziali potenzialmente compromesse. Aggiornamento di tutti i software e applicazione delle patch mancanti. Revisione delle regole del firewall. Attivazione di controlli aggiuntivi.
In alcuni casi la bonifica non è sufficiente: se il ransomware ha cifrato i file e non esiste un decryptor, o se il rootkit ha compromesso il kernel del sistema operativo, l'unica soluzione è il ripristino da backup. Per questo un backup aziendale solido con la regola 3-2-1-1-0 non è un optional: è l'ultima linea di difesa.
Prevenzione: I 5 Pilastri della Protezione Aziendale
Gestire un'infezione costa tempo, soldi e notti insonni. Prevenirla costa molto meno. Ecco i 5 pilastri su cui costruire una protezione che funziona:
EDR / Antivirus Enterprise
L'antivirus tradizionale basato su firme non basta più. Servono soluzioni EDR (Endpoint Detection & Response) che analizzano il comportamento dei processi in tempo reale, isolano automaticamente i dispositivi sospetti e offrono capacità di rollback ransomware. BullTech utilizza Bitdefender GravityZone con gestione centralizzata via console.
Scopri le nostre soluzioni antivirus enterprisePatch Management Automatico
L'80% degli attacchi sfrutta vulnerabilità note per cui esiste già una patch. Il patch management automatico garantisce che tutti i dispositivi aziendali (PC, server, firmware) siano aggiornati entro 72h dalla release di ogni patch critica. Con NinjaOne, BullTech gestisce gli aggiornamenti centralmente senza disturbare gli utenti.
Scopri il nostro endpoint managementFormazione Anti-Phishing
Il 91% degli attacchi inizia con un'email di phishing. Formare i dipendenti a riconoscere le email sospette è la misura preventiva con il miglior rapporto costo/efficacia. BullTech organizza sessioni di formazione periodiche e campagne di simulazione phishing per misurare la resilienza del team.
Come riconoscere il phishing aziendaleBackup con Regola 3-2-1-1-0
Tre copie dei dati, su due tipi di supporto diversi, di cui una offsite, una immutabile, con zero errori nei test di ripristino. Se il virus cifra tutto, un backup immutabile e testato ti permette di ripristinare l'operatività in ore anziché settimane.
Scopri il nostro servizio backup e DRSegmentazione della Rete
Una rete piatta dove tutti vedono tutto è il sogno di ogni malware. La segmentazione con VLAN, firewall interni e zero trust limita i movimenti laterali: anche se un PC viene compromesso, il malware non può raggiungere i server critici, i backup o i sistemi OT.
Scopri i nostri servizi di sicurezza ITQuanto Costa un Virus Informatico all'Azienda
Il costo di un'infezione va ben oltre la semplice bonifica tecnica. Ecco una stima realistica dei costi per una PMI da 30-100 dipendenti:
| Voce di costo | Singolo PC | Infezione di rete | Ransomware |
|---|---|---|---|
| Bonifica tecnica | 200-500 € | 2.000-10.000 € | 5.000-20.000 € |
| Downtime produttivo | 500-1.500 € | 5.000-25.000 € | 20.000-100.000 € |
| Ripristino dati | 0-500 € | 1.000-5.000 € | 5.000-30.000 € |
| Danno reputazionale | Trascurabile | Variabile | Significativo |
| Notifica GDPR (se data breach) | N/A | 500-2.000 € | 2.000-10.000 € |
| TOTALE STIMATO | 700-2.500 € | 8.500-42.000 € | 32.000-160.000 € |
Il costo nascosto: il tempo
Un'infezione da ransomware in una PMI causa in media 21 giorni di downtime. Tre settimane in cui l'azienda lavora a capacità ridotta o non lavora affatto. Per un'azienda con un fatturato di 5 milioni di euro, 21 giorni di blocco significano circa 280.000 euro di mancato fatturato. La prevenzione costa una frazione di questa cifra.
Quando Serve il Recovery da Backup
Non tutte le infezioni richiedono un ripristino completo. Ma in alcuni casi, il backup è l'unica soluzione praticabile:
- Ransomware con cifratura completa: se non esiste un decryptor pubblico e non si vuole pagare il riscatto (scelta raccomandata), il ripristino da backup è l'unica via
- Rootkit a livello kernel: quando il malware si è insediato a livello di sistema operativo, nessuna bonifica può garantire l'eliminazione completa. Serve la reinstallazione
- Compromissione dell'Active Directory: se le credenziali di Domain Admin sono state rubate, l'intero dominio potrebbe essere compromesso. In casi gravi, serve un rebuild dell'AD
- Esfiltrazione massiva di dati: anche dopo la bonifica, se i dati sono stati rubati, potrebbe servire un ripristino a uno stato precedente per capire esattamente cosa è stato sottratto
La chiave è avere un backup che funzioni davvero: immutabile (non modificabile dal ransomware), testato regolarmente (non scoprire al momento del bisogno che il ripristino fallisce) e con una retention adeguata (l'infezione potrebbe essere presente da settimane). Per approfondire, leggi la nostra guida alla regola 3-2-1-1-0 per il backup aziendale.
I 6 Errori Fatali da Evitare
Nella gestione di un'infezione, alcuni errori possono trasformare un problema contenibile in un disastro:
Spegnere o riavviare il PC infetto
Cancella le tracce forensi in RAM. Alcuni ransomware completano la cifratura al riavvio. Alcuni worm si propagano proprio durante il boot. Isola dalla rete, ma non spegnere.
Provare a rimuovere il virus da soli con tool gratuiti
Tool come Malwarebytes Free o scansioni rapide di Windows Defender non trovano malware avanzati (fileless, rootkit, RAT). Peggiorano la situazione dando una falsa sensazione di sicurezza.
Pagare il riscatto ransomware
Nel 2025, solo il 62% di chi paga riceve effettivamente il decryptor. Pagare finanzia i criminali e rende l'azienda un bersaglio per attacchi futuri. Inoltre, potrebbe violare le normative anti-riciclaggio.
Non comunicare l'incidente al management
Nascondere un'infezione per evitare rimproveri è la ricetta per il disastro. Il management deve sapere: potrebbe essere necessaria una notifica GDPR entro 72h, e la NIS2 impone la segnalazione all'ACN entro 24h.
Riconnettere il PC alla rete prima della bonifica completa
Un PC ancora infetto che viene riconnesso alla rete ricomincia a propagare il malware. La bonifica deve essere completa e verificata prima di qualsiasi riconnessione.
Non cambiare le credenziali dopo la bonifica
Se il malware ha rubato le password (e quasi tutti lo fanno), le credenziali vecchie sono compromesse. Serve un reset completo: password utente, account di servizio, token API, certificati.
Come BullTech Ti Protegge dai Virus Informatici
Con il servizio Always On di BullTech, la protezione dai virus è proattiva, non reattiva. Ecco cosa include:
EDR Bitdefender GravityZone
Protezione endpoint di livello enterprise su tutti i dispositivi, con analisi comportamentale, rollback ransomware e isolamento automatico delle minacce.
Patch Management Automatico
Aggiornamenti centralizzati via NinjaOne: sistema operativo, browser, applicazioni, firmware. Patch critiche applicate entro 72h dalla release.
Monitoraggio 24/7 e Alerting
Il nostro NOC monitora in tempo reale tutti gli endpoint. Alert automatici su comportamenti anomali, tentativi di disabilitazione antivirus, traffico sospetto.
Incident Response Incluso
In caso di infezione, la bonifica è inclusa nel canone. Intervento entro 30 minuti durante l'orario lavorativo, entro 2 ore fuori orario. Nessun costo aggiuntivo a sorpresa.
Domande Frequenti sui Virus Informatici in Azienda
Come capisco se il mio PC aziendale ha un virus?
I segnali piu' comuni: il PC diventa lentissimo senza motivo, i programmi si aprono o chiudono da soli, compaiono pop-up strani, le ventole girano al massimo, i file scompaiono o cambiano estensione, il traffico di rete e' anomalo, l'antivirus si e' disattivato senza che nessuno lo toccasse. Nei casi peggiori, vedi una schermata che chiede un riscatto (ransomware) o perdi completamente l'accesso al sistema.
Devo spegnere subito il computer se ha un virus?
No, non spegnerlo. Lo so che l'istinto e' quello, ma resisti. Stacca il cavo di rete e disattiva il Wi-Fi per isolarlo, pero' lascialo acceso. Il motivo: molti malware lasciano tracce nella memoria RAM che spariscono allo spegnimento. E alcuni ransomware completano la cifratura dei file proprio durante il riavvio. L'unica cosa che conta subito e' togliere la rete per impedire che il virus si propaghi o invii dati all'esterno.
Quanto costa una bonifica professionale da virus in azienda?
Dipende dalla gravita'. Bonifica di un singolo PC: 200-500 euro. Se l'infezione si e' propagata alla rete, si sale a 2.000-10.000 euro tra analisi forense, bonifica di tutti i dispositivi e messa in sicurezza. Un attacco ransomware con ripristino da backup puo' costare 5.000-50.000 euro. Con il contratto Always On di BullTech, la bonifica e' gia' inclusa nel canone mensile -- nessuna sorpresa.
L'antivirus gratuito è sufficiente per un'azienda?
Assolutamente no. Gli antivirus gratuiti (Windows Defender in configurazione base, Avast Free, AVG) non hanno protezione EDR (cioe' la capacita' di rilevare comportamenti sospetti in tempo reale), non si gestiscono centralmente, non ti danno report di compliance e mancano di funzioni critiche come il rollback ransomware, l'isolamento automatico del PC infetto e la threat intelligence aggiornata. Per un'azienda servono soluzioni enterprise come Bitdefender GravityZone, SentinelOne o CrowdStrike, gestite da una console centralizzata.
Come posso prevenire i virus informatici in azienda?
La prevenzione che funziona si basa su 5 cose: (1) EDR/antivirus enterprise su tutti i PC e server, gestiti da una console centralizzata, (2) aggiornamenti automatici con patch critiche applicate entro 72 ore, (3) formazione anti-phishing periodica per tutto il team, (4) backup regolari con la regola 3-2-1-1-0 e test di ripristino, (5) rete segmentata per impedire al virus di spostarsi da un PC ai server critici. Con il servizio Always On di BullTech, tutti questi controlli sono gia' attivi e gestiti.