lunedì 29 aprile 2019

Windows 10: Ripristinare messaggio di conferma per l'eliminazione file

In Windows 10 è stata eliminata la finestra di dialogo di conferma per l'eliminazione del file: il file cancellato viene spostato all'interno del cestino senza richiedere alcuna ulteriore conferma all'utente.
Per ripristinare tale funzione è possibile agire tramite GUI, creare un'apposita policy tramite il registro di sistema oppure tramite l'Editor criteri di gruppo locali (solo con le versioni Professional o Enterprise di Windows).


Metodo 1: Ripristinare messaggio di conferma eliminazione file tramite GUI

  • Cliccare con il tasto destro del mouse sul Cestino presente sul Desktop e dal menu selezionare Proprietà;
  • Selezionare la casella Visualizza conferma eliminazione e cliccare sul pulsante OK per applicare la modifica.
    Windows 10, Abilitare la visualizzazione della finestra di conferma eliminazione file
    FIG 1 - Windows 10, Abilitare la visualizzazione della finestra di conferma eliminazione file



Metodo 2: Ripristinare messaggio di conferma eliminazione file tramite registro di sistema

Con questo metodo andremo a creare una policy che abilita la visualizzazione della conferma eliminazione. Applicando tale metodo l'opzione non sarà più modificabile dall'utente tramite GUI come visto per il Metodo 1 (la modifica della casella sarà inibita).
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • Creare un nuovo valore DWORD (32bit), rinominarlo ConfirmFileDelete e valorizzarlo ad 1.
    Windows 10, Regedit ConfirmFileDelete
    FIG 2 - Windows 10, Regedit ConfirmFileDelete
Disconnettersi e riconnettersi al sistema per rendere effettiva la modifica. Per ripristinare l'impostazione di default basta eliminare il valore ConfirmFileDelete.

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la finestra di conferma eliminazione file.
DOWNLOAD



Metodo 3: Ripristinare messaggio di conferma eliminazione file tramite l'Editor Criteri di gruppo locali 

  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Configurazione utente -> Modelli amministrativi -> Componenti di Windows -> Esplora file
  • Sulla parte destra cliccare 2 volte con il tasto sinistro del mouse sulla voce Visualizza finestra di conferma per la cancellazione di file;
    Editor Criteri di gruppo locali, Visualizza finestra di conferma per la cancellazione di file
    FIG 3 - Editor Criteri di gruppo locali, Visualizza finestra di conferma per la cancellazione di file
  • Selezionare la casella Attivata e cliccare sul pulsante OK per confermare la modifica.
    Attiva Visualizza finestra di conferma per la cancellazione di file
    FIG 4 - Attiva Visualizza finestra di conferma per la cancellazione di file







mercoledì 24 aprile 2019

Windows 10: Rimuovere l'icona di OneDrive da Esplora file

Proprio come avviene per altre cartelle tipo Desktop, Download, Documenti, Immagini, ecc, sul lato sinistro della finestra di Esplora file viene visualizzata anche l'icona di OneDrive che permette di accedere alla relativa cartella. 
Windows 10, Icona OneDrive in Esplora File
FIG 1 - Windows 10, Icona OneDrive in Esplora file

Per rimuovere l'icona di OneDrive da Esplora file:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}
  • Cliccare 2 volte sul valore System.IsPinnedToNameSpaceTree presente nel pannello di destra dell'editor del registro e valorizzarlo a 0.
    Windows 10, Disabilita icona OneDrive in Esplora file tramite System.IsPinnedToNameSpaceTree
    FIG 2 - Windows 10, Disabilita icona OneDrive in Esplora file tramite System.IsPinnedToNameSpaceTree
La modifica è immediata e non necessita del riavvio del sistema. Per far riapparire l'icona basta assegnare a System.IsPinnedToNameSpaceTree il valore 1.

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare l'icona di OneDrive all'interno di Esplora file.
DOWNLOAD





martedì 23 aprile 2019

Windows 10: Modificare la spaziatura tra le icone

In Windows 7 era possibile modificare la spaziatura, orizzontale e verticale,  tra le icone. Tale possibilità è stata inibita in ambiente Windows 10 ma agendo tramite il registro di sistema, possiamo personalizzare la spaziatura tra le icone a nostro piacimento:

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics
  • Sul pannello di destra sono presenti le voci IconSpacing e IconVerticalSpacing che gestiscono rispettivamente la spaziatura orizzontale e quella verticale tra le icone;
  • Personalizzare la spaziatura tra le icone assegnando alle 2 voci valori compresi tra -480 (minimo spazio) e -2730 (massimo spazio).
  • Affinché la modifica diventi effettiva basta disconnettersi e riconnettersi al sistema.
Windows 10, Impostare la spaziatura tra le icone
FIG 1 - Windows 10, Impostare la spaziatura tra le icone






venerdì 19 aprile 2019

Windows 10: Visualizzare il numero di versione sul Desktop

Per visualizzare la versione di Windows in basso a destra sul desktop così come avviene per le versioni preliminari di Windows è possibile agire tramite il registro di sistema.
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Control Panel\Desktop
  • Individuare il valore DWORD (32bit) nominato PaintDesktopVersion, cliccarci su 2 volte con il tasto sinistro del mouse e valorizzarlo ad 1.
    Windows 10, PaintDesktopVersion
    FIG 1 - Windows 10, PaintDesktopVersion
Al successivo avvio di Windows verrà mostrata, in basso a destra, la versione del sistema operativo come da FIG 2.
Windows 10, Visualizzazione versione sul Desktop
FIG 2 - Windows 10, Visualizzazione versione sul Desktop

Per ripristinare l'impostazione di default basta eseguire i passaggi sopora indicati e valorizzare PaintDesktopVersion a 0.

Dal seguente link è possibile scaricare i file REG per abilitare/disabilitare la visualizzazione della versione di Windows sul Desktop.
DOWNLOAD




lunedì 15 aprile 2019

Windows 10: Modificare il Font di default di Windows

Windows 10 utilizza il carattere Segoe per le scritte del sistema e non consente agli utenti di modificarlo tramite le impostazioni tuttavia la modifica è possibile agendo tramite il registro di sistema. Innanzitutto individuare il Font che si intende utilizzare:
  • Cliccare con il tasto destro del mouse sul Desktop quindi selezionare, dal menu contestuale, la voce Personalizza;
  • Nella nuova finestra selezionare la sezione Caratteri (sul lato sinistro della finestra) e scorrere l'elenco dei caratteri fino ad individuare quello di proprio gradimento;
    Windows 10, Scelta del Font
    FIG 1 - Windows 10, Scelta del Font
  • Prendere nota del nome del carattere scelto.

Modificare il font di default di Windows

Il modo più veloce per raggiungere il nostro scopo consiste nel preparare un apposito file .reg che ci consente di modificare più valori all'interno del registro di sistema:
  • Avviare Blocco Note;
  • Copiare e incollare all'interno del documento Blocco Note le seguenti righe sostituendo a "Nuovo Font" il nome del font scelto in precedenza (ad es. "Segoe Print")
    Windows Registry Editor Version 5.00
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
    "Segoe UI (TrueType)"=""
    "Segoe UI Bold (TrueType)"=""
    "Segoe UI Bold Italic (TrueType)"=""
    "Segoe UI Italic (TrueType)"=""
    "Segoe UI Light (TrueType)"=""
    "Segoe UI Semibold (TrueType)"=""
    "Segoe UI Symbol (TrueType)"=""
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes]
     
    "Segoe UI"="Nuovo Font"

    Blocco Note, creazione file .reg per la modifica del Font di default
    FIG 2 - Blocco Note, creazione file .reg per la modifica del Font di default
  • Da Blocco Note cliccare su File ->Salva con nome;
  • Nell'apposita casella digitiamo il nome che vogliamo assegnare al file seguito dall'estensione .reg il tutto racchiuso tra apici come mostrato in FIG 3;
    Creazione file .reg per modifica Font
    FIG 3 - Creazione file .reg per modifica Font
  • Salviamo il file sul Desktop;
  • Cliccare 2 volte con il tasto sinistro del mouse sul file appena creato e confermare l'operazione nell'apposita finestra di dialogo che appare per aggiungere il suo contenuto al registro di sistema;
  • Riavviare il sistema per rendere effettiva la modifica
Windows 10, Font di default modificato
FIG 4 - Windows 10, Font di default modificato




Ripristinare il font di default di Windows

Per ripristinare il Font di default basta procedere in modo analogo:
  • Avviare Blocco Note;
  • Copiare e incollare le seguenti righe
    Windows Registry Editor Version 5.00
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
    "Segoe UI (TrueType)"="segoeui.ttf"
    "Segoe UI Black (TrueType)"="seguibl.ttf"
    "Segoe UI Black Italic (TrueType)"="seguibli.ttf"
    "Segoe UI Bold (TrueType)"="segoeuib.ttf"
    "Segoe UI Bold Italic (TrueType)"="segoeuiz.ttf"
    "Segoe UI Emoji (TrueType)"="seguiemj.ttf"
    "Segoe UI Historic (TrueType)"="seguihis.ttf"
    "Segoe UI Italic (TrueType)"="segoeuii.ttf"
    "Segoe UI Light (TrueType)"="segoeuil.ttf"
    "Segoe UI Light Italic (TrueType)"="seguili.ttf"
    "Segoe UI Semibold (TrueType)"="seguisb.ttf"
    "Segoe UI Semibold Italic (TrueType)"="seguisbi.ttf"
    "Segoe UI Semilight (TrueType)"="segoeuisl.ttf"
    "Segoe UI Semilight Italic (TrueType)"="seguisli.ttf"
    "Segoe UI Symbol (TrueType)"="seguisym.ttf"
    "Segoe MDL2 Assets (TrueType)"="segmdl2.ttf"
    "Segoe Print (TrueType)"="segoepr.ttf"
    "Segoe Print Bold (TrueType)"="segoeprb.ttf"
    "Segoe Script (TrueType)"="segoesc.ttf"
    "Segoe Script Bold (TrueType)"="segoescb.ttf"
     
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes]
     
    "Segoe UI"=-
    
  • Cliccare su File ->Salva con nome;
  • Nell'apposita casella digitiamo il nome che vogliamo assegnare al file seguito dall'estensione .reg il tutto racchiuso tra apici come mostrato in FIG 5;
    Creazione file .reg per ripristino Font
    FIG 5 - Creazione file .reg per ripristino Font
  • Salviamo il file sul Desktop;
  • Cliccare 2 volte con il tasto sinistro del mouse sul file appena creato per aggiungere il suo contenuto al registro di sistema;
  • Riavviare il sistema per rendere effettiva la modifica.



I file .reg possono essere scaricati dal seguente link
DOWNLOAD
Ricordarsi di modificare il file FontPersonalizzato.reg inserendo il nome del font prescelto al posto di "Nuovo Font".








giovedì 11 aprile 2019

Windows 10: Generare un report delle connessioni Wi-Fi

Una funzione molto utile presente in Windows 10 è quella che consente di generare un report dettagliato su tutte le connessioni Wi-Fi recenti. Il report include dettagli interessanti come le reti a cui il PC si è connesso, la durata delle sessioni, eventuali errori, certificati, informazioni sulle schede di rete, ecc, tutte informazioni utili a diagnosticare eventuali problemi sulle connessioni Wi-Fi.

Per generare il report basta lanciare il comando
netsh wlan show wlanreport
dal prompt dei comandi eseguito come amministratore. Il report viene salvato nel file html C:\ProgramData\Microsoft\Windows\WlanReport\wlan-report-latest.html, può essere visualizzato tramite un qualsiasi browser e include le informazioni delle connessioni Wi-fi degli ultimi 3 giorni divisi per sessione.



Dettaglio Report

  • Grafico connessioni Wi-Fi 
    Il  grafico visualizzato nel report mostra le connessioni Wi-Fi degli ultimi 3 giorni. Posizionandoci con il mouse su una sessione o sulla relativa icona circolare di connessione/disconnessione verranno visualizzati maggiori dettagli come ora di connessione/disconnessione, durata della sessione, motivo della disconnessione e nome della rete Wi-Fi. Eventuali icone circolari di colore rosso sulla connessione rappresentano errori, basta posizionarsi sull'icona con il mouse per visualizzare ulteriori dettagli.

    Grafico connessioni Wi-Fi
    FIG 1 - Grafico connessioni Wi-Fi
  • Report Info 
    Nella sezione Report Info viene mostrata la data di creazione del report (Report created) e quanti giorni copre (Report duration).

    Report Info
    FIG 2 - Report Info
  • General System Info
    Contiene dettagli sul PC come il nome del computer (ComputerName), il produttore (System Manufacturer), il modello (System Product Name), la data del BIOS (BIOS Date) e la versione (BIOS Version), versione del sistema operativo (OS Build), ID della macchina (Machine Id) e se fa parte di Mobile device management (MDM joined).
    General system Info
    FIG 3 - General system Info
  • User Info 
    Mostra informazioni relative all'attuale utente connesso (Username), al dominio di appartenenza (User Domain) e dominio DNS (User DNS Domain).

    User Info
    FIG 4 - User Info
  • Network adapters
    Contiene l'elenco delle schede di rete, incluse quelle nascoste, presenti sul PC e per ciascuna vengono visualizzate diverse informazioni.
    - Device: Nome della scheda di rete.

    - PnP ID: PnP ID che il PC utilizza per identificare la scheda.

    - Guid: L'identificatore unico della scheda.

    - Current driver version: Versione del driver utilizzato dalla scheda.

    - Driver date: Data del driver.

    - DevNode flags: Flag DevNode.
    - Problem number: Viene visualizzato solo nel caso si siano verificati problemi con la scheda di rete e rappresenta quante volte si è verificato un problema con la scheda.

    Network Adapters
    FIG 5 - Network Adapters
  • Script output
    La sezione Script output contiene diverse informazioni ottenute eseguendo specifici comandi dal prompt dei comandi
    • Output for 'ipconfig /all'
      Visualizza informazioni sulle schede di rete tra cui MAC Address, indirizzo IP, Gateway, DNS e DHCP.
      IPConfig /all
      FIG 6 - IPConfig /all
    • Output for 'netsh wlan show all'
      Mostra informazioni dettagliate sul sistema Wi-Fi come la capacità delle schede, driver, profili, impostazioni e l'elenco delle reti Wi-Fi disponibili al momento della creazione del report
      netsh wlan show all
      FIG 7 - netsh wlan show all
    • Output for 'certutil -store -silent My & certutil -store -silent -user My'
      Mostra l'elenco dei certificati presenti sul PC
      certutil -store -silent My & certutil -store -silent -user My
      FIG 8 - certutil -store -silent My & certutil -store -silent -user My
    • Profile Output
      Mostra dettagliatamente tutti i profili Wi-Fi memorizzati sul PC (chiavi di sicurezza e password sono cifrate pertanto non vengono visualizzate).
      Profile Output
      FIG 9 - Profile Output
  • Summary
    Anche Summary è composta da più sottosezioni che raggruppano le informazioni viste precedentemente.
    • Session Success/Failures
      Resoconto delle connessioni Wi-Fi. Visualizza il numero di sessioni Wi-Fi concluse con successo, fallite o che hanno visualizzato un avviso.
      Session Success
      FIG 10 - Session Success
    • Disconnect Reasons
      Elenca i diversi motivi per cui la connessione Wi-Fi è stata disconnessa.
      Disconnect Reasons
      FIG 11 - Disconnect Reasons
    • Session Durations
      Mostra un grafico che evidenza la durata media delle sessioni Wi-Fi.
      Session Durations
      FIG 12 - Session Durations
    • Wireless Sessions
      Visualizza tutti gli eventi Wi-Fi associati a ciascuna sessione di connessione.
      - Interface: Nome della scheda di rete.
      - Interface Guid: Identificatore univoco della scheda di rete.
      - Connection Mode: Specifica la modalità con cui il dispositivo si è connesso alla rete (Manuale, Auto, tramite profilo, ecc).
      - Profile: Mostra il profilo utilizzato per la connessione (se presente).
      - SSID: Mostra il nome della rete Wi-Fi.
      - BSS Type: Tipo di rete. Infrastructure, Independent (adhoc).
      - Session Duration: Indica la durata della sessione.
      - Disconnection Reason: Visualizza il motivo della disconnessione.
      - Tabella Eventi: Nella tabella vengono elencati tutti gli eventi relativi alla connessione Wi-Fi. I colori aiutano nell'identificazione di particolari eventi.

      Dettagli sugli eventi relativi alle sessioni Wi-Fi
      FIG 13 - Dettagli sugli eventi relativi alle sessioni Wi-Fi









mercoledì 10 aprile 2019

Ransomware Hacked (HKCrypt): Recupero dei dati

Scoperto nel 2017, il ransomware HKCrypt (conosciuto anche con il nome di Hacked) prende di mira gli utenti inglesi, turchi, spagnoli e italiani. I vettori di infezione sono i soliti già visti per gli altri ransomware: email, link a siti compromessi, file infetti, ecc. Una volta installato, il ransomware visualizza una finestra di Windows Update fasulla mentre provvede a cifrare i file della vittima utilizzando l'algoritmo RC4 e aggiungendo a questi l'estensione .hacked. Al termine della procedura visualizza un messaggio come quello mostrato in figura per informare la vittima che i file sono stati cifrati e su come pagare il riscatto.
Ransomware Hacked (HKCrypt)
FIG 1 - Ransomware Hacked (HKCrypt)

Il ransomware crea anche più file contenenti le note per il riscatto in diverse lingue: in inglese (@readme_English.txt o How_to_decrypt_files.txt), spagnolo (@Readme_Spanish.txt), e italiano (@Leggimi_decrypt_Italian.txt). La versione inglese delle note è analoga a quella riportata di seguito:

All of your files were protected by a strong encryption with RSA4096

What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp

How can i get my files back ? 
the only way to restore your files So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data
you better not waste your time, because there is no other way to get your files, except make 
a payment

What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of  0.5 BTC to address: 131mixVnmnijg1DPJZrTTakX3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at 
payment.hkdecryp@protonmail.com
5. Write subject of your mail with :  HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN 
TRANSACTION ID)


Ad oltre 1 anno e mezzo dalla scoperta del ransomware, l'esperto di sicurezza Michael Gillespie di Emsisoft è riuscito a scovare il punto debole del ransomware Hacked che gli ha permesso di creare un tool per decriptare e recuperare i dati cifrati.


Rimozione del ransomware

Prima di tentare il recupero dei dati è necessario assicurarsi che il ransomware sia stato rimosso dal sistema eseguendo una scansione con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.


Recupero dei dati

Il tool scritto da Michael Gillespie può essere scaricato dal seguente link
DOWNLOAD

Il tool va eseguito con i privilegi di amministratore. Una volta accettate le condizioni di utilizzo, basta selezionare il disco dove risiedono i file cifrati (o specificare una determinata cartella tramite il pulsante Add folder), cliccare sul tasto Decrypt e attendere che il tool completi il suo lavoro. Al termine, nel tab Results, verranno visualizzate le informazioni sul recupero dei dati cifrati.


Emsisoft Decrypter for HKCrypt
FIG 2 - Emsisoft Decrypter for HKCrypt