Hai provato a aprire i file recuperati dalle shadow copy? Sono leggibili? Perché mi è capitato di vedere i file, recuperarli con shadow explorer ma poi sono illeggibili.
Il problema non è neppure il collegamento a internet, quanto aver ancora il PC infetto i esecuzione, alcuni ransomware si mettono in esecuzione automatica per cui è bene lavorare da un altro pc con il disco da recuperare come secondario.
Probabilmente il ransomware è ancora attivo e ti ha tolto le shadow copy. Ma ripeto, verifica i file recuperati dalle shadow copy, non dare per certo che siano leggibili solo perché li vedi e hanno i nomi giusti