mercoledì 12 aprile 2017

Recuperare l'account e la password da un client di posta tramite Mail PassView

Per recuperare velocemente informazioni sugli account e relative password dai client di posta installati sul PC è possibile utilizzare il tool della NirSoft Mail PassView.
Il tool è gratuito, occupa pochi KB e può essere scaricato da http://www.nirsoft.net/utils/mailpv.html. Dalla pagina indicata è possibile scegliere 2 versioni: la versione che non richiede alcuna installazione, composta da un file zip contenente l'eseguibile e un file di help, e la versione installabile dotata di setup.
Il tool permette di recuperare gli account e relative password dai seguenti client di posta:
Outlook Express
Microsoft Outlook 2000 (solo account POP3 e SMTP)
Microsoft Outlook 2002/2003/2007/2010/2013/2016 (account POP3, IMAP, HTTP e SMTP)
Windows Mail
Windows Live Mail
IncrediMail
Eudora
Netscape 6.x/7.x (solo se la password non è cifrata con la master password)
Mozilla Thunderbird (solo se la password non è cifrata con la master password)
Group Mail Free
Yahoo! Mail (Se la password è salvata nell'applicazione Yahoo! Messenger)
Hotmail/MSN mail (se la password è salvata in MSN/Windows/Live Messenger)
Gmail (se la password è salvata in Gmail Notifier, Google Desktop, Google Talk)

L'utilizzo di Mail PassView è molto semplice: una volta avviato l'eseguibile (mailpv.exe) si aprirà una finestra contenente, oltre alla lista degli account e relative password salvati all'interno dei client di posta presenti sul PC, anche altre informazioni più o meno importanti. Il tool permette il salvataggio dei dati recuperati all'interno di un file di testo o nella clipboard.

NirSoft, Mail PassView
FIG 1 - NirSoft, Mail PassView




martedì 11 aprile 2017

Windows Quick Tip: Cancellare il file della memoria virtuale (pagefile.sys) all'arresto del sistema

Come ulteriore supporto alla RAM fisica, Windows utilizza la memoria virtuale: memoria implementata da un file pagefile.sys presente su disco fisso. Il Sistema Operativo libera spazio sulla RAM fisica "parcheggiando" le applicazioni meno utilizzate all'interno della memoria virtuale (molto più lenta rispetto alla RAM).
In questo articolo verrà mostrato come cancellare il file pagefile.sys all'arresto del sistema. Per effettuare tale operazione, senza l'utilizzo di tool di terze parti, è possibile procedere in 2 modi: tramite l'editor dei criteri di gruppo o tramite il registro di sistema (unica possibilità nel caso si utilizzi una versione Home/Basic di Windows).


Metodo 1: Tramite Editor dei criteri di gruppo locali

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'editor criteri di gruppo locali;
  • Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Configurazione computer->Impostazioni di Windows->Impostazioni sicurezza->Criteri locali->Opzioni di sicurezza;
  • Nei criteri elencati nella parte destra della finestra, cercare Arresto del sistema: cancella file di paging della memoria virtuale e aprirlo tramite doppio click;
    GPEDIT, Arresto del sistema; cancella file di paging della memoria virtuale
    FIG 1 - GPEDIT, Arresto del sistema; cancella file di paging della memoria virtuale
  • Cliccare su Attivato quindi confermare cliccando su OK per attivare la cancellazione automatica del file di paging all'arresto del sistema.

    GPEDIT, Attiva criterio per la cancellazione automatica del file di paging
    FIG 2 - GPEDIT, Attiva criterio per la cancellazione automatica del file di paging

Metodo 2: Tramite registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
  • Se non presente, creare un nuovo valore DWORD (32 bit) e nominarlo in ClearPageFileAtShutdown. Cliccare 2 volte sul valore appena creato e, nella casella Dati valore, digitare 1 quindi confermare cliccando su OK.
    Registro di sistema, ClearPageFileAtShutdown
    FIG 3 - Registro di sistema, ClearPageFileAtShutdown
Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la cancellazione automatica del file di paging all'arresto del sistema.
DOWNLOAD




lunedì 10 aprile 2017

Verificare se un sito web è sicuro con Zulu URL Risk Analyzer

Capita spesso di ricevere email, apparentemente inviate da mittenti attendibili, contenenti link a siti web. Cliccando su quei link si corre il rischio di visitare pagine web non sicure ed essere infettati da virus, malware o ransomware. Prima di aprire un sito web non conosciuto possiamo verificarne l'affidabilità utilizzando il servizio web gratuito Zulu URL Risk Analyzer di Zscaler.

Nel caso dei link presenti nelle email è possibile procedere in questo modo:
  • Cliccare con il tasto destro del mouse sul link/collegamento al sito web e, dal menu contestuale, selezionare la voce Copia collegamento ipertestuale (o Copia indirizzo link);
  • Aprire il sito web di  Zulu URL Risk Analyzer, http://zulu.zscaler.com/
  • Incollare, nell'apposita casella, l'indirizzo da analizzare e cliccare sul pulsante Submit URL.
    Zulu URL Risk Analyzer
    FIG 1 - Zulu URL Risk Analyzer
Il servizio effettuerà una serie di controlli di sicurezza, visibili nel dettaglio, e al termine visualizzerà un punteggio complessivo che rappresenterà il grado di affidabilità del sito.





venerdì 7 aprile 2017

Windows 10: Visualizzare l'ora in modo esteso nella System Tray

Per fare in modo che in Windows 10 l'orologio nella System Tray visualizzi anche i secondi è necessario agire tramite il registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
  • Creare un nuovo valore DWORD (32bit), rinominarlo in ShowSecondsInSystemClock e assegnargli il valore 1;

    Abilitare i secondi nell'orologio della System Tray, ShowSecondsInSystemClock
    FIG 1 - Abilitare i secondi nell'orologio della System Tray, ShowSecondsInSystemClock
  • Affinché le modifiche diventino effettive è necessario riavviare il sistema, disconnettersi e riconnettersi a Windows oppure riavviare Esplora risorse (da Gestione attività selezionare Esplora risorse quindi cliccare su Riavvia).
    Riavviare Esplora risorse tramite Gestione attività
    FIG 2 - Riavviare Esplora risorse tramite Gestione attività


Al termine l'orologio presente nella System Tray visualizzerà anche i secondi.
Orologio nella System Tray abilitato alla visualizzazione dei secondi
FIG 3 - Orologio nella System Tray abilitato alla visualizzazione dei secondi

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la visualizzazione dei secondi da parte dell'orologio della System Tray
DOWNLOAD




giovedì 6 aprile 2017

Windows Quick Tip: Gestire gli account locali con WMIC useraccount

Per conoscere e gestire gli account utente presenti su una macchina Windows si può utilizzare il comando WMIC (Windows Management Instrumentation Command-line) dal prompt dei comandi. Uno dei vantaggi nell'utilizzare la riga di comando anziché l'interfaccia grafica consiste nella possibilità di poter esportare le informazioni all'interno di un file. Avviare il prompt dei comandi come amministratore e utilizzare uno dei seguenti comandi a seconda dell'operazione che si intende effettuare.

Visualizzare l'elenco dei nomi utente
wmic useraccount get name

Visualizzare i dettagli di tutti gli account
wmic useraccount list full
i nomi dei campi (la prima parte di ogni riga) visualizzati da tale comando possono essere utilizzati come filtro tramite il comando get

Visualizzare i nomi degli account (in ordine alfabetico) e relativi nomi completi degli utenti
wmic useraccount get name, fullname

Disabilitare un account
wmic useraccount where name='username' set disabled=true
al posto di username va indicato il nome dell'account.

Abilitare un account
wmic useraccount where name='username' set disabled=false
sostituire username con il nome dell'account.

Rimuovere la richiesta password al logon
wmic useraccount where name='username' set PasswordRequired=false
indicare al posto di username il nome dell'account.

Impedire all'utente di modificare la password
wmic useraccount where name='username' set passwordchangeable=false
al posto di username va indicato il nome dell'account.

Rinominare un account
wmic useraccount where name='username' rename 'newusername'
dove al posto di username e newusername vanno indicati rispettivamente il nome dell'account da rinominare e il nuovo nome da assegnare.

Per salvare l'output del comando all'interno di un file di testo
wmic /output:c:\risultato.txt useraccount list full


WMIC useraccount
FIG 1 - WMIC useraccount

mercoledì 5 aprile 2017

Ransomware DoNotChange: Recuperare i dati

Il ransomware DoNotChange è stato individuato per la prima volta il 29 marzo 2017. Anche questo ransomware viene distribuito prevalentemente attraverso email di spam che sembrano provenire da mittenti attendibili come Amazon, PayPal, Facebook, Twitter e Microsoft. Se la vittima apre il file allegato ed esegue la macro, il ransomware si installa sulla macchina e provvede a cifrare i file sui dischi locali, sulle share di rete e sui dischi removibili utilizzando versioni custom di AES e RSA

I file interessati dal ransomware hanno le seguenti estensioni:
.3GP, .7Z, .APK, .AVI, .BMP, .CDR, .CER, .CHM, .CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .KEY, .MDB .MD2, .MDF, .MHT, .MOBI .MHTM, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RAR, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .CKP, .ZIP, .JAVA, .PY, .ASM, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DB3, .SQL, .SQLITE3, .SQLITE, .SQLITEDB, .PSD, .PSP, .PDB, .DXF, .DWG, .DRW, .CASB, .CCP, .CAL, .CMX, .CR2.

A seconda della variante del ransomware ai file viene aggiunta l'estensione ".id-[id_vittima].cry" oppure ".Do_not_change_the_file_name.cryp". 

DoNotChange, per cifrare i dati, genera una chiave a 256-bit che non viene salvata in locale ma viene inviata ai server di Command and Control. Terminata la crittografia dei file viene visualizzato il messaggio di riscatto.
Messaggio del riscatto del ransomware DoNotChange
FIG 1 - Messaggio del riscatto del ransomware DoNotChange

Michael Gillespie ha creato il tool DoNotChangeDecrypter per decriptare i dati cifrati dal ransomware DoNotChange. Al momento il tool funziona prevalentemente con i file con estensione ".id-[id_vittima].cry".

L'utilizzo del tool è molto semplice. Una volta scaricato da QUI, scompattarlo ed eseguirlo. Cliccare su Select Directory per selezionare la cartella o il disco contenente i file criptati quindi cliccare su Decrypt per avviare il processo.


DoNotChangeDecrypter
FIG 2 - DoNotChangeDecrypter



martedì 4 aprile 2017

Google Chrome: Esportare ed importare le credenziali salvate

Le recenti versioni di Google Chrome dispongono di una nuova funzione che consente di esportare ed importare le credenziali di accesso ai siti web salvate all'interno del browser. Al momento si tratta ancora di una funzionalità sperimentale pertanto va abilitata manualmente eseguendo semplici passaggi:
  • Avviare Chrome e nella barra degli indirizzi digitare chrome://flags/#password-import-export
  • Individuare la sezione Importazione ed esportazione di password e modificare l'impostazione da Predefinito ad Attiva;
  • Cliccare sul pulsante Riavvia Ora per rendere effettiva la modifica;
    Google Chrome flags
    FIG 1 - Google Chrome flags
  • Al riavvio del browser digitare nella barra degli indirizzi chrome://settings/passwords in alternativa cliccare sul pulsante Personalizza e controlla Google Chrome (quello con i 3 puntini in alto a destra della finestra), Impostazioni -> Mostra impostazioni avanzate -> Gestisci password;
  • Cliccare sul pulsante Esporta per esportare le credenziali all'interno di un file di testo in formato CSV (potrebbero essere richiesto di inserire le credenziali di accesso al sistema).
    Google Chrome, Esporta credenziali salvate
    FIG 2 - Google Chrome, Esporta credenziali salvate
In modo del tutto analogo, cliccando sul pulsante Importa, è possibile importare le credenziali precedentemente salvate all'interno di un file CSV.

ATTENZIONE!: Il file CSV non è altro che un file di testo non protetto. Le informazioni al suo interno sono in chiaro e possono essere lette con un semplice editor di testo da chiunque. Fare attenzione a dove si salva il file.