martedì 5 luglio 2016

PowerShell: Disabilitare/Abilitare una connessione di rete

Nell'articolo PowerShell: Visualizzare le proprietà delle schede di rete tramite Get-NetAdapter ho mostrato come recuperare le informazioni delle connessioni di rete tramite PowerShell. In questo articolo, invece, mostrerò come è possibile disabilitare e riabilitare una connessione di rete utilizzando i cmdlet Disable-NetAdapter e Enable-NetAdapter.
Per entrambi i cmdlet è necessario eseguire PowerShell come amministratore in caso contrario si riceverà un messaggio di errore di Accesso Negato.


Disable-NetAdapter

Disable-NetAdapter consente di disabilitare la connessione di rete specificata. Ad es.
Disable-NetAdapter -Name "Wi-Fi"
Al parametro Name va passato il nome della connessione di rete da disabilitare. Il parametro accetta anche i caratteri wildcard consentendo di specificare parte del nome della connessione.
Disable-NetAdapter -Name "Wi*"
oppure
Disable-NetAdapter -Name "W*Fi"
Prima che il comando venga eseguito viene visualizzata la richiesta di conferma (FIG 1).


Disable-NetAdapter, richiesta di conferma
FIG 1 - Disable-NetAdapter, richiesta di conferma


Per fare in modo che il comando venga eseguito senza che venga richiesta la conferma, è possibile utilizzare il parametro -Confirm passando il valore false:
Disable-NetAdapter -Name "Wi-Fi" –Confirm:$false

Una volta eseguito il comando, andando a verificare lo stato della connessione tramite Get-NetAdapter, noteremo che la connessione specificata è nello stato disabilitata (disabled). Anche in Gestione Dispositivi del sistema operativo, la scheda di rete risulterà disabilitata.
Get-NetAdapter, connessione di rete disabilitata
FIG 2 - Get-NetAdapter, connessione di rete disabilitata


Disable-NetAdapter consente anche di disabilitare una connessione di rete presente su una postazione/sessione remota, basta utilizzare il parametro -CimSession e specificare il nome della postazione. Ad es.
Disable-NetAdapter -Name "Wi-Fi" -CimSession computer1 -Confirm:$false
dove computer1 è il nome della postazione remota

Enable-NetAdapter

Enable-NetAdapter consente di abilitare una connessione di rete disabilitata e il suo utilizzo è del tutto analogo a quello visto con Disable-NetAdapter.

Per abilitare una connessione di rete
Enable-NetAdapter -Name "Wi-Fi"
Enable-NetAdapter -Name "Wi*"
oppure
Enable-NetAdapter -Name "W*Fi"

Per abilitare una connessione di rete senza che venga richiesto di confermare l'operazione
Enable-NetAdapter -Name "Wi-Fi" –Confirm:$false

Enable-NetAdapter, abilitare connessione di rete
FIG 3 - Enable-NetAdapter, abilitare connessione di rete

Per abilitare la connessione di rete su una sessione/postazione remota
Enable-NetAdapter -Name "Wi-Fi" -CimSession computer1 -Confirm:$false
dove computer1 rappresenta il nome della postazione o della sessione remota.


giovedì 30 giugno 2016

PowerShell: Visualizzare le proprietà delle schede di rete tramite Get-NetAdapter

Il cmdlet Get-NetAdapter consente di visualizzare le proprietà delle schede di rete. Lanciando il cmdlet da PowerShell visualizziamo le schede di rete visibili e alcune delle loro proprietà (FIG 1)
PowerShell cmdlet Get-NetAdapter
FIG 1 - PowerShell cmdlet Get-NetAdapter
Name: Rappresenta il nome assegnato alle Connessioni di rete.
InterfaceDescription: Descrizione dell'interfaccia. Generalmente contiene il modello/produttore della scheda.
ifIndex: Interface Index. Sulle workstation la proprietà ifIndex è rappresentata da un numero che identifica in modo univoco l'interfaccia di rete fisica o logica (non possono esserci due interfacce con lo stesso ifIndex).
Status: E' lo stato dell'interfaccia è indica se la connessione è attiva (UP), disconnessa (Disconnected) o disabilitata (Disabled).
MACAddress: Media Access Control. Si tratta dell'indirizzo fisico della scheda.
LinkSpeed: Rappresenta la massima velocità della connessione.

Per formattare l'output possiamo utilizzare i comandi Format come Format-List (abbreviato FL)
Get-NetAdapter |fl
Con questo tipo di formattazione vengono visualizzate ulteriori proprietà come DriverInformation che visualizza la versione del driver della scheda.
PowerShell cmdlet Get-NetAdapter |fl
FIG 2 - PowerShell cmdlet Get-NetAdapter |fl

Utilizzando Format-Custom (abbreviato FC) vengono visualizzate tutte le proprietà (comprese quelle non valorizzate) dell'interfaccia.
Get-NetAdapter |fc

Di seguito riporto alcuni esempi che possono essere utili in diverse occasioni.

Esempio 1
Get-NetAdapter -CimSession <nome_sessione/computer_remoto>
Con -CimSession possiamo specificare una sessione o un computer remoto e visualizzarne le proprietà delle schede di rete.

Esempio 2
Get-NetAdapter | Format-List -Property Name, InterfaceDescription, InterfaceName
Con Format-List -Property possiamo visualizzare solo le proprietà che ci interessano specificandole all'interno del comando. Nell'esempio viene richiesto di visualizzare solo le proprietà Name, InterfaceDescription e InterfaceName.
PowerShell cmdlet Get-NetAdapter |fl - Property
FIG 3 - PowerShell cmdlet Get-NetAdapter |fl - Property

Esempio 3
Get-NetAdapter -IncludeHidden
Per default vengono visualizzate solo le schede di rete visibili. Con l'opzione -IncludeHidden verrano visualizzate anche quelle non visibili/logiche.
PowerShell cmdlet Get-NetAdapter -IncludeHidden
FIG 4 - PowerShell cmdlet Get-NetAdapter -IncludeHidden

Esempio 4
Get-NetAdapter -Physical
Visualizza solo le schede di rete fisiche.

Esempio 5
Get-NetAdapter -Name "Ethernet"
Visualizza solo le proprietà della connessione di rete avente come nome quello specificato (Ethernet). É possibile utilizzare anche caratteri wildcard come nel seguente comando
Get-NetAdapter -Name "Eth*"
oppure
Get-NetAdapter -Name "E*t"
PowerShell cmdlet Get-NetAdapter -Name "Eth*"
FIG 5 - PowerShell cmdlet Get-NetAdapter -Name "Eth*"

Esempio 6
Get-NetAdapter | Format-Table –View Driver
Visualizza tutte le schede di rete visibili con tutte le proprietà relative ai driver
PowerShell cmdlet Get-NetAdapter | Format-Table –View Driver
FIG 6 - PowerShell cmdlet Get-NetAdapter | Format-Table –View Driver



mercoledì 29 giugno 2016

Ransomware ApocalypseVM: Recupero dei file

Circola una nuova variante del ransomware Apocalypse: ApocalypseVM. Al fine di rendere difficile il reverse engineering del malware da parte degli esperti di sicurezza, gli sviluppatori hanno provveduto a proteggerlo tramite l'utilizzo di VMProtect (un utility di compressione che provvede ad offuscare il codice contenuto nel file). Questa nuova variante del ransomware aggiunge ai file cifrati l'estensione .encrypted e .locked e, per ogni file cifrato, provvede alla creazione di un file di testo del tipo [filename].How_To_Get_Back.txt contenente le informazioni per il pagamento del riscatto. Anche per questa variante del ransomware Fabian Wosar di Emsisoft ha creato un tool per il recupero dei file cifrati. Il tool Emsisoft Decrypter for ApocalypseVM può essere scaricato dal seguente link:
DOWNLOAD

Per recuperare i propri dati basta trascinare la versione cifrata e quella non cifrata di un file (di almeno 4096 byte) sul file eseguibile del tool al fine di generare la chiave privata.
Una finestra di dialogo mostrerà la chiave privata recuperata e, cliccando su OK, verrà visualizzata una nuova schermata che consentirà di decriptare i dati tramite il pulsante Decrypt. Al termine dell'operazione, nella scheda Results, verranno visualizzati i risultati.


Emsisoft Decrypter for ApocalypseVM
FIG 1 - Emsisoft Decrypter for ApocalypseVM



mercoledì 22 giugno 2016

Windows Quick Tip: Determinare il tipo di licenza di Windows (OEM, Retail, Volume Licensing)

Il sistema operativo di Microsoft viene distribuito con diversi tipi di licenza. Ciascuna licenza differisce dalle altre per restrizioni, termini e condizioni di utilizzo. I tipi di licenza più diffusi tra i software sono OEM, Retail e Volume.

OEMOriginal Equipment Manufacturer. Questo tipo di licenza è legata all'hardware con cui viene venduta e non è trasferibile su altri PC né può essere acquistata separatamente.

Retail: Conosciuta anche come FPP (Full Packaged Product), si tratta del prodotto 'confezionato' e acquistato da Microsoft oppure da un rivenditore autorizzato. In questo caso l'utente può trasferire la licenza da un PC all'altro.

Volume Licensing: É ideale per le aziende che necessitano di più copie del sistema operativo. Con tale licenza è possibile eseguire installazione multiple sui PC dell'azienda utilizzando una unica VLK (Volume License Key). 


Per verificare il tipo di licenza del proprio sistema:
  • Avviare il Prompt dei comandi;
  • Digitare ed eseguire il seguente comando
    slmgr -dli
    Nella finestra di dialogo Windows Script Host verrà visualizzato il tipo di licenza ed eventuali ulteriori dettagli

Licenza di Windows
FIG 1 - Licenza di Windows

martedì 21 giugno 2016

Windows Quick Tip: Verificare lo stato di salute della batteria in Windows 8 e Windows 10

Con Windows 8 la Microsoft ha introdotto la possibilità di generare un report sullo stato della batteria del proprio dispositivo. Il report viene generato tramite il comando powercfg e ci fornisce molte informazioni sulla batteria consentendoci di verificarne lo stato di salute.

I passaggi da seguire sono molto semplici:
  • Avviare il prompt dei comandi (WIN+X e selezionare Prompt dei comandi)

    WIN+X e selezionare Prompt dei comandi
    FIG 1 - WIN+X e selezionare Prompt dei comandi
  • Digitare ed eseguire il seguente comando
    powercfg /batteryreport
    Il processo potrebbe richiedere un pò di tempo al termine del quale verrà visualizzato il percorso del file HTML contenente il report.

    Powercfg /batteryreport
    FIG 2 - Powercfg /batteryreport

Dettagli relativi al Battery Report

Il report generato non è altro che un file html contenente informazioni sulla batteria suddivise in diverse sezioni. Nella prima parte del report vengono visualizzare informazioni generali sul sistema come il nome, il modello, la versione del BIOS, il sistema operativo, se è supportata la modalità Connected Standby (particolare modalità di risparmio energetico) e la data di generazione del report stesso.


Battery report
FIG 3 - Battery report

Installed batteries
In questa sezione vengono riportate le informazioni sulle batterie installate nel sistema (generalmente ne troveremo solo una) tra cui il nome, il produttore, il numero seriale (se disponibile) e la composizione chimica ma i dati più importanti sono quelli relativi alle voci Design Capacity, Full Charge Capacity e Cycle count che rappresentano la capacità originale (di progettazione) della batteria, la sua capacità attuale e i cicli di ricarica a cui è stata sottoposta. Dalla FIG 4 è possibile vedere che la batteria analizzata è stata sottoposta a 374 cicli di ricarica, che la sua capacità originaria era di 37mWh mentre l'attuale capacità massima è di 33 mWh (valore destinato a scendere ulteriormente con l'usura della batteria e con l'aumentare delle ricariche effettuate). 
Battery report, Installed batteries
FIG 4 - Battery report, Installed batteries

Recent usage
Nella sezione Recent usage vengono visualizzati i dati relativi allo stato e all'utilizzo della batteria negli ultimi 3 giorni. É possibile vedere quando il dispositivo è stato acceso/sospeso e la quantità di carica rimanente ogni volta permettendoci di capire il consumo dopo ogni utilizzo.


Battery report, Recent usage
FIG 5 - Battery report, Recent usage

Battery usage
La sezione Battery usage mostra, tramite l'utilizzo di un grafico, le informazioni già viste nella sezione Recent usage. Anche in questo caso il grafico fa riferimento agli ultimi 3 giorni di utilizzo.
Battery report, Battery usage
FIG 6 - Battery report, Battery usage

Usage History
In Usage History è possibile verificare per quanto tempo il dispositivo è stato usato alimentato dalla batteria e per quanto tempo è stato usato collegato alla rete elettrica.
Battery report, Usage History
FIG 7 - Battery report, Usage History

Battery capacity history
Questa sezione è utile per visualizzare come la capacità massima della batteria decresce nel tempo. Le statistiche partono dall'installazione di Windows 8/10 sul PC.

Battery report, Battery capacity history
FIG 8 - Battery report, Battery capacity history

Battery life estimates

In Battery life estimates viene visualizzata la durata massima della batteria. In particolare nell'ultima riga, mostrata in FIG 10, viene indicata l'autonomia della batteria in origine (quando è stato installato il sistema operativo Windows 8/10) e l'attuale autonomia massima. In questo caso si evince che l'autonomia è diminuita di circa 13 min.

Battery report, Battery life estimates
FIG 9 - Battery report, Battery life estimates
Battery report, Battery current estimate
FIG 10 - Battery report, Battery current estimate
Tutte queste informazioni presenti nel report sono utili per farsi un'idea sullo stato di salute della batteria e capire quando è arrivato il momento di sostituirla.

lunedì 20 giugno 2016

Windows Quick Tip: Cambiare la directory di default del Prompt dei Comandi

Quando da Windows viene aperto il prompt dei comandi, la cartella di default è /users/<nome_utente> (o /Documents and Settings/<nome_utente> per Windows XP e antecedenti).

Directory di default del Prompt dei Comandi
FIG 1 - Directory di default del Prompt dei Comandi
Per chi utilizza frequentemente il Prompt dei Comandi può far comodo modificare il percorso di default. Per farlo è possibile agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su 
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor
  • Creare un valore Stringa, rinominarlo in Autorun e assegnargli il seguente valore
    CD /d C:\Windows\System32
    ovviamente sostituendo C:\Windows\System32 con il percorso della directory desiderata


    Modifica della directory di default del Prompt dei Comandi
    FIG 2 - Modifica della directory di default del Prompt dei Comandi
La modifica sarà subito attiva e non necessita del riavvio del sistema o la disconnessione/riconnessione dell'utente. All'interno del valore Autorun è possibile anche richiamare un file come ad es. un file Batch (.BAT) contenente una serie di comandi da eseguire all'avvio del Prompt.

giovedì 16 giugno 2016

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

  • Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
  • Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
    Sezione Avvio da Gestione attività
    FIG 1 - Sezione Avvio da Gestione attività
  • Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
  • Accettare la licenza

    Licenza Decrypter for Apocalypse
    FIG 2 - Licenza Decrypter for Apocalypse
  • Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.

    Emsisoft Decrypter for Apocalypse
    FIG 3 - Emsisoft Decrypter for Apocalypse
  • Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.