giovedì 30 giugno 2016

PowerShell: Visualizzare le proprietà delle schede di rete tramite Get-NetAdapter

Il cmdlet Get-NetAdapter consente di visualizzare le proprietà delle schede di rete. Lanciando il cmdlet da PowerShell visualizziamo le schede di rete visibili e alcune delle loro proprietà (FIG 1)
PowerShell cmdlet Get-NetAdapter
FIG 1 - PowerShell cmdlet Get-NetAdapter
Name: Rappresenta il nome assegnato alle Connessioni di rete.
InterfaceDescription: Descrizione dell'interfaccia. Generalmente contiene il modello/produttore della scheda.
ifIndex: Interface Index. Sulle workstation la proprietà ifIndex è rappresentata da un numero che identifica in modo univoco l'interfaccia di rete fisica o logica (non possono esserci due interfacce con lo stesso ifIndex).
Status: E' lo stato dell'interfaccia è indica se la connessione è attiva (UP), disconnessa (Disconnected) o disabilitata (Disabled).
MACAddress: Media Access Control. Si tratta dell'indirizzo fisico della scheda.
LinkSpeed: Rappresenta la massima velocità della connessione.

Per formattare l'output possiamo utilizzare i comandi Format come Format-List (abbreviato FL)
Get-NetAdapter |fl
Con questo tipo di formattazione vengono visualizzate ulteriori proprietà come DriverInformation che visualizza la versione del driver della scheda.
PowerShell cmdlet Get-NetAdapter |fl
FIG 2 - PowerShell cmdlet Get-NetAdapter |fl

Utilizzando Format-Custom (abbreviato FC) vengono visualizzate tutte le proprietà (comprese quelle non valorizzate) dell'interfaccia.
Get-NetAdapter |fc

Di seguito riporto alcuni esempi che possono essere utili in diverse occasioni.

Esempio 1
Get-NetAdapter -CimSession <nome_sessione/computer_remoto>
Con -CimSession possiamo specificare una sessione o un computer remoto e visualizzarne le proprietà delle schede di rete.

Esempio 2
Get-NetAdapter | Format-List -Property Name, InterfaceDescription, InterfaceName
Con Format-List -Property possiamo visualizzare solo le proprietà che ci interessano specificandole all'interno del comando. Nell'esempio viene richiesto di visualizzare solo le proprietà Name, InterfaceDescription e InterfaceName.
PowerShell cmdlet Get-NetAdapter |fl - Property
FIG 3 - PowerShell cmdlet Get-NetAdapter |fl - Property

Esempio 3
Get-NetAdapter -IncludeHidden
Per default vengono visualizzate solo le schede di rete visibili. Con l'opzione -IncludeHidden verrano visualizzate anche quelle non visibili/logiche.
PowerShell cmdlet Get-NetAdapter -IncludeHidden
FIG 4 - PowerShell cmdlet Get-NetAdapter -IncludeHidden

Esempio 4
Get-NetAdapter -Physical
Visualizza solo le schede di rete fisiche.

Esempio 5
Get-NetAdapter -Name "Ethernet"
Visualizza solo le proprietà della connessione di rete avente come nome quello specificato (Ethernet). É possibile utilizzare anche caratteri wildcard come nel seguente comando
Get-NetAdapter -Name "Eth*"
oppure
Get-NetAdapter -Name "E*t"
PowerShell cmdlet Get-NetAdapter -Name "Eth*"
FIG 5 - PowerShell cmdlet Get-NetAdapter -Name "Eth*"

Esempio 6
Get-NetAdapter | Format-Table –View Driver
Visualizza tutte le schede di rete visibili con tutte le proprietà relative ai driver
PowerShell cmdlet Get-NetAdapter | Format-Table –View Driver
FIG 6 - PowerShell cmdlet Get-NetAdapter | Format-Table –View Driver



mercoledì 29 giugno 2016

Ransomware ApocalypseVM: Recupero dei file

Circola una nuova variante del ransomware Apocalypse: ApocalypseVM. Al fine di rendere difficile il reverse engineering del malware da parte degli esperti di sicurezza, gli sviluppatori hanno provveduto a proteggerlo tramite l'utilizzo di VMProtect (un utility di compressione che provvede ad offuscare il codice contenuto nel file). Questa nuova variante del ransomware aggiunge ai file cifrati l'estensione .encrypted e .locked e, per ogni file cifrato, provvede alla creazione di un file di testo del tipo [filename].How_To_Get_Back.txt contenente le informazioni per il pagamento del riscatto. Anche per questa variante del ransomware Fabian Wosar di Emsisoft ha creato un tool per il recupero dei file cifrati. Il tool Emsisoft Decrypter for ApocalypseVM può essere scaricato dal seguente link:
DOWNLOAD

Per recuperare i propri dati basta trascinare la versione cifrata e quella non cifrata di un file (di almeno 4096 byte) sul file eseguibile del tool al fine di generare la chiave privata.
Una finestra di dialogo mostrerà la chiave privata recuperata e, cliccando su OK, verrà visualizzata una nuova schermata che consentirà di decriptare i dati tramite il pulsante Decrypt. Al termine dell'operazione, nella scheda Results, verranno visualizzati i risultati.


Emsisoft Decrypter for ApocalypseVM
FIG 1 - Emsisoft Decrypter for ApocalypseVM



mercoledì 22 giugno 2016

Windows Quick Tip: Determinare il tipo di licenza di Windows (OEM, Retail, Volume Licensing)

Il sistema operativo di Microsoft viene distribuito con diversi tipi di licenza. Ciascuna licenza differisce dalle altre per restrizioni, termini e condizioni di utilizzo. I tipi di licenza più diffusi tra i software sono OEM, Retail e Volume.

OEMOriginal Equipment Manufacturer. Questo tipo di licenza è legata all'hardware con cui viene venduta e non è trasferibile su altri PC né può essere acquistata separatamente.

Retail: Conosciuta anche come FPP (Full Packaged Product), si tratta del prodotto 'confezionato' e acquistato da Microsoft oppure da un rivenditore autorizzato. In questo caso l'utente può trasferire la licenza da un PC all'altro.

Volume Licensing: É ideale per le aziende che necessitano di più copie del sistema operativo. Con tale licenza è possibile eseguire installazione multiple sui PC dell'azienda utilizzando una unica VLK (Volume License Key). 


Per verificare il tipo di licenza del proprio sistema:
  • Avviare il Prompt dei comandi;
  • Digitare ed eseguire il seguente comando
    slmgr -dli
    Nella finestra di dialogo Windows Script Host verrà visualizzato il tipo di licenza ed eventuali ulteriori dettagli

Licenza di Windows
FIG 1 - Licenza di Windows

martedì 21 giugno 2016

Windows Quick Tip: Verificare lo stato di salute della batteria in Windows 8 e Windows 10

Con Windows 8 la Microsoft ha introdotto la possibilità di generare un report sullo stato della batteria del proprio dispositivo. Il report viene generato tramite il comando powercfg e ci fornisce molte informazioni sulla batteria consentendoci di verificarne lo stato di salute.

I passaggi da seguire sono molto semplici:
  • Avviare il prompt dei comandi (WIN+X e selezionare Prompt dei comandi)

    WIN+X e selezionare Prompt dei comandi
    FIG 1 - WIN+X e selezionare Prompt dei comandi
  • Digitare ed eseguire il seguente comando
    powercfg /batteryreport
    Il processo potrebbe richiedere un pò di tempo al termine del quale verrà visualizzato il percorso del file HTML contenente il report.

    Powercfg /batteryreport
    FIG 2 - Powercfg /batteryreport

Dettagli relativi al Battery Report

Il report generato non è altro che un file html contenente informazioni sulla batteria suddivise in diverse sezioni. Nella prima parte del report vengono visualizzare informazioni generali sul sistema come il nome, il modello, la versione del BIOS, il sistema operativo, se è supportata la modalità Connected Standby (particolare modalità di risparmio energetico) e la data di generazione del report stesso.


Battery report
FIG 3 - Battery report

Installed batteries
In questa sezione vengono riportate le informazioni sulle batterie installate nel sistema (generalmente ne troveremo solo una) tra cui il nome, il produttore, il numero seriale (se disponibile) e la composizione chimica ma i dati più importanti sono quelli relativi alle voci Design Capacity, Full Charge Capacity e Cycle count che rappresentano la capacità originale (di progettazione) della batteria, la sua capacità attuale e i cicli di ricarica a cui è stata sottoposta. Dalla FIG 4 è possibile vedere che la batteria analizzata è stata sottoposta a 374 cicli di ricarica, che la sua capacità originaria era di 37mWh mentre l'attuale capacità massima è di 33 mWh (valore destinato a scendere ulteriormente con l'usura della batteria e con l'aumentare delle ricariche effettuate). 
Battery report, Installed batteries
FIG 4 - Battery report, Installed batteries

Recent usage
Nella sezione Recent usage vengono visualizzati i dati relativi allo stato e all'utilizzo della batteria negli ultimi 3 giorni. É possibile vedere quando il dispositivo è stato acceso/sospeso e la quantità di carica rimanente ogni volta permettendoci di capire il consumo dopo ogni utilizzo.


Battery report, Recent usage
FIG 5 - Battery report, Recent usage

Battery usage
La sezione Battery usage mostra, tramite l'utilizzo di un grafico, le informazioni già viste nella sezione Recent usage. Anche in questo caso il grafico fa riferimento agli ultimi 3 giorni di utilizzo.
Battery report, Battery usage
FIG 6 - Battery report, Battery usage

Usage History
In Usage History è possibile verificare per quanto tempo il dispositivo è stato usato alimentato dalla batteria e per quanto tempo è stato usato collegato alla rete elettrica.
Battery report, Usage History
FIG 7 - Battery report, Usage History

Battery capacity history
Questa sezione è utile per visualizzare come la capacità massima della batteria decresce nel tempo. Le statistiche partono dall'installazione di Windows 8/10 sul PC.

Battery report, Battery capacity history
FIG 8 - Battery report, Battery capacity history

Battery life estimates

In Battery life estimates viene visualizzata la durata massima della batteria. In particolare nell'ultima riga, mostrata in FIG 10, viene indicata l'autonomia della batteria in origine (quando è stato installato il sistema operativo Windows 8/10) e l'attuale autonomia massima. In questo caso si evince che l'autonomia è diminuita di circa 13 min.

Battery report, Battery life estimates
FIG 9 - Battery report, Battery life estimates
Battery report, Battery current estimate
FIG 10 - Battery report, Battery current estimate
Tutte queste informazioni presenti nel report sono utili per farsi un'idea sullo stato di salute della batteria e capire quando è arrivato il momento di sostituirla.

lunedì 20 giugno 2016

Windows Quick Tip: Cambiare la directory di default del Prompt dei Comandi

Quando da Windows viene aperto il prompt dei comandi, la cartella di default è /users/<nome_utente> (o /Documents and Settings/<nome_utente> per Windows XP e antecedenti).

Directory di default del Prompt dei Comandi
FIG 1 - Directory di default del Prompt dei Comandi
Per chi utilizza frequentemente il Prompt dei Comandi può far comodo modificare il percorso di default. Per farlo è possibile agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su 
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor
  • Creare un valore Stringa, rinominarlo in Autorun e assegnargli il seguente valore
    CD /d C:\Windows\System32
    ovviamente sostituendo C:\Windows\System32 con il percorso della directory desiderata


    Modifica della directory di default del Prompt dei Comandi
    FIG 2 - Modifica della directory di default del Prompt dei Comandi
La modifica sarà subito attiva e non necessita del riavvio del sistema o la disconnessione/riconnessione dell'utente. All'interno del valore Autorun è possibile anche richiamare un file come ad es. un file Batch (.BAT) contenente una serie di comandi da eseguire all'avvio del Prompt.

giovedì 16 giugno 2016

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

  • Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
  • Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
    Sezione Avvio da Gestione attività
    FIG 1 - Sezione Avvio da Gestione attività
  • Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
  • Accettare la licenza

    Licenza Decrypter for Apocalypse
    FIG 2 - Licenza Decrypter for Apocalypse
  • Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.

    Emsisoft Decrypter for Apocalypse
    FIG 3 - Emsisoft Decrypter for Apocalypse
  • Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.


martedì 7 giugno 2016

Windows Quick Tip: Analizzare la velocità dei browser

La velocità di navigazione in Internet non dipende solo dalla velocità e qualità della connessione ma è influenzata da numerosi fattori: prestazioni del PC, browser utilizzato e relativo motore di rendering, plug-in installati, personalizzazioni effettuate, codice sorgente della pagina, ecc.
Per valutare la velocità del proprio browser e per verificare quanto incide sulle prestazioni un determinato plug-in o personalizzazione è possibile utilizzare uno dei tanti servizi online.
Uno dei servizi che è possibile utilizzare allo scopo è SunSpider: un benchmark in Javascript realizzato da WebKit. Il benchmark è in parte superato per valutare le reali prestazioni del motore di rendering ma fornisce alcune utili funzioni per confrontare i risultati dei vari test permettendoci di discriminare l'elemento che rallenta il nostro browser.
Per eseguire il benchmark raggiungere il seguente indirizzo https://webkit.org/perf/sunspider/sunspider.html e cliccare sul link Start Now!
Dopo pochi secondi verranno visualizzati i risultati e un indirizzo URL lunghissimo che è possibile salvare per effettuare un confronto con test successivi. All'interno della stessa pagina dei risultati, infatti, è presente un campo in cui è possibile incollare l'indirizzo URL di un test precedente ed effettuare un confronto immediato tra i risultati (FIG. 2).
SunSpider risultati test
FIG 1 - SunSpider risultati test

Sunspider, confrontare i risultati dei test
FIG 2 - Sunspider, confrontare i risultati dei test

lunedì 6 giugno 2016

MS Exchange: Reperire informazioni sul Default Configuration Domain Controller

Per determinare quale sia il Default Configuration Domain Controller è possibile agire tramite il registro eventi del server Exchange: dal registro Eventi->Applicazioni cercare l'evento con ID 2081.

L'informazione può essere ottenuta anche tramite EMS digitando il seguente comando:
Get-ADServerSettings | fl

L'output visualizzato dal cmdlet è simile al seguente e l'informazione di nostro interesse è indicata da DefaultConfigurationDomainController 

RunspaceId                                     : 70db61a2-743b-4d7b-9a26-76a049b449a4
DefaultGlobalCatalog                           : DC2.contoso.com
PreferredDomainControllerForDomain             : {}
DefaultConfigurationDomainController           : DC1.contoso.com
DefaultPreferredDomainControllers              : {DC2.contoso.com}
UserPreferredGlobalCatalog                     :
UserPreferredConfigurationDomainController     :
UserPreferredDomainControllers                 : {}
DefaultConfigurationDomainControllersForAllForests : {(contoso.com, DC1.contoso.com)}
DefaultGlobalCatalogsForAllForests     : {(contoso.com, DC2.contoso.com)}
RecipientViewRoot                              : contoso.com
ViewEntireForest                               : False
WriteOriginatingChangeTimestamp                : False
WriteShadowProperties                          : False
Identity                                       :
IsValid                                        : True
ObjectState                                    : New



Se si intende settare un nuovo Default Configuration Domain Controller utilizzare il cmdlet Set-ADServerSettings indicando il nome del server:
Set-ADServerSettings –PreferredServer <nome_server>
ad es.
Set-ADServerSettings –PreferredServer DC2.contoso.com

sabato 4 giugno 2016

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.
Impossibile avviare Windows a causa di file mancante o corrotto
FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).
BadBlock: richiesta pagamento riscatto
FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 



Come recuperare i dati cifrati


Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.
Decrypt BadBlock: Creazione cartella sul desktop
FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.
BadBlock: Decryption Key
FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su  per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.
Decrypt BadBlock - License terms
FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.
BadBlock: Emsisoft Decrypter
FIG 6 - BadBlock: Emsisoft Decrypter


BadBlock: Emsisoft Decrypter, risultati
FIG 7 - BadBlock: Emsisoft Decrypter, risultati