/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/04/google-drive-protezione-ransomware.jpg "Google Drive ora blocca il ransomware e ripristina i file automaticamente")
I ransomware sono componenti dannosi che, una volta entrati nella rete della vittima, provvedono a crittografare documenti e file personali, chiedendo quindi un riscatto in denaro per accedere alla chiave di decodifica. Questi tipi di malware possono diffondersi anche sul cloud, attraverso le cartelle condivise. A settembre 2025, la società guidata da Sundar Pichai ha presentato una nuova funzionalità di difesa che protegge Google Drive dall’azione dei ransomware.
Il sistema implementato in Google Drive combina rilevamento automatico e ripristino dei dati. Dopo la fase di test avviata nel 2025, la funzionalità è ora disponibile per gli utenti di Google Workspace e, parzialmente, anche per gli utenti in possesso di un account personale.
Rilevamento ransomware integrato nel client Google Drive
La nuova funzionalità si basa su un motore di analisi comportamentale integrato in Google Drive for desktop, disponibile per Windows e macOS. Il sistema osserva in tempo reale le modifiche ai file sincronizzati: sequenze anomale di cifratura, rinomina massiva o corruzione dei dati rappresentano segnali tipici di un attacco ransomware.
Se il sistema dovesse individuare uno schema sospetto, interviene in modo automatico: la sincronizzazione viene sospesa immediatamente. Trattasi di un passaggio cruciale, perché impedisce che file compromessi sovrascrivano le versioni sane archiviate nel cloud, bloccando di fatto la propagazione del danno tra dispositivi e account collegati.
Il motore sviluppato in quel di Mountain View utilizza modelli di machine learning addestrati su grandi volumi di campioni reali, con aggiornamenti continui derivati da fonti di intelligence come VirusTotal. In questo modo riesce a riconoscere anche varianti di ransomware non ancora catalogate, basandosi sui pattern di comportamento piuttosto che su hash noti ovvero “impronte digitali” di minacce informatiche già note.
Notifiche e visibilità per utenti e amministratori
Al rilevamento di un’attività sospetta, Google Drive invia notifiche immediate sia all’utente che agli amministratori.
L’utente riceve un avviso locale e un’email con istruzioni operative; parallelamente, l’evento è annotato nella console di amministrazione di Google Workspace, dove può essere analizzato attraverso i log di sicurezza.
Tale integrazione consente di centralizzare la gestione degli incidenti: gli amministratori possono verificare quando è iniziata la corruzione dei file, identificare i dispositivi coinvolti e valutare le azioni correttive.
Ripristino dei file: versioning e recupero massivo
Il secondo pilastro della soluzione è la funzionalità di ripristino dei file, che sfrutta il sistema di versioning già presente in Google Drive. In caso di attacco, l’utente può riportare uno o più file a uno stato precedente all’infezione attraverso un’interfaccia semplificata.
Il sistema consente il recupero dei file modificati negli ultimi 25 giorni: una finestra temporale in linea con le politiche di conservazione già adottate da Google Workspace. Il ripristino può essere eseguito in blocco, caratteristica particolarmente utile quando l’attacco coinvolge centinaia o migliaia di file.
Una volta eliminata la minaccia sul dispositivo locale, l’utente seleziona l’intervallo temporale e avvia l’operazione di ripristino (che non richiede strumenti esterni né procedure complesse di reimaging, riducendo drasticamente i tempi di inattività).
Attivazione e requisiti tecnici
Le funzionalità di rilevamento ransomware risultano attive per impostazione predefinita nelle versioni recenti del client, a partire da Google Drive for desktop nella versione 114 e successive. Gli amministratori possono comunque intervenire tramite le impostazioni di sicurezza per modificarne il comportamento o disabilitarle negli ambienti che sfruttano soluzioni alternative.
Il rilevamento ransomware è disponibile principalmente nei piani business ed enterprise di Google Workspace, mentre il ripristino dei file è accessibile anche agli utenti consumer.
Limiti e integrazione con altre difese
Il sistema messo a punto da Google e integrato in Google Drive non sostituisce un antivirus né impedisce l’infezione iniziale: interviene quando il ransomware è già attivo sul dispositivo. L’obiettivo è contenere l’impatto e impedire che la cifratura si propaghi ai dati sincronizzati.
Resta quindi fondamentale affiancare queste funzionalità a misure tradizionali: isolamento dei dispositivi, controllo delle applicazioni, backup indipendenti e gestione delle identità. In particolare, la finestra di recupero limitata a 25 giorni rappresenta un vincolo da considerare nella progettazione delle politiche di protezione dei dati.
L’integrazione tra rilevamento comportamentale e ripristino rapido introduce un livello di protezione che si colloca tra prevenzione e recovery. La soluzione di Google non evita le infezioni, ma riduce al minimo le conseguenze di un attacco andato in porto.
/https://www.ilsoftware.it/app/uploads/2026/03/axios-npm-compromesso.jpg "Axios compromesso: rischio enorme per milioni di progetti open source")
/https://www.ilsoftware.it/app/uploads/2026/03/calhanoglu-hakan.jpg "Stasera non c'è solo Bosnia-Italia: ecco le altre finali playoff di oggi")
/https://www.ilsoftware.it/app/uploads/2026/03/aggiornamenti-critici-google-chrome.jpg "Chrome aggiorna 3,5 miliardi di installazioni e parla di rischio estensioni")
/https://www.ilsoftware.it/app/uploads/2026/03/wp_drafter_498939.jpg "Nuova tecnologia per onde radio permette di raggiungere 100 metri di profondità")