giovedì 4 maggio 2017

Ransomware JeepersCrypt: Recupero dati

Gli esperti di BleepingComputer  hanno scovato un nuovo ransomware proveniente dal Brasile chiamato JeepersCrypt (nome che si rifà al film horror Jeepers Creepers). Il ransomware aggiunge l'estensione .jeepers ai file cifrati e visualizza la richiesta di riscatto mostrata in figura in cui l'utente viene avvisato che dispone di 24 ore di tempo per pagare il riscatto.
FIG 1 - Ransomware JeepersCrypt

Come recuperare i dati

Prima di procedere a decriptare i dati, consiglio di effettuare una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.
Il recupero dei dati è possibile grazie al tool StupidDecrypter sviluppato da Michael Gillespie (Demonslay335) e scaricabile da https://download.bleepingcomputer.com/demonslay335/StupidDecrypter.zip

Il tool permette di decriptare file cifrati con le seguenti estensioni: .android, .anon, .crypted, .deria, .devil, .FailedAccess, .fucked, .Harzhuangzi, .haters, .jeepers, .killedXXX, .lock, .MIKOYAN, .Nazi, .powned, .SnakeEye, .xncrypt, _crypt0, _nullbyte.


Scompattare il file .zip ed avviare l'unico file eseguibile StupidDecrypter.exe


StupidDrecypter, recuperare i dati cifrati da JeepersCrypt
FIG 2 - StupidDrecypter, recuperare i dati cifrati da JeepersCrypt

Cliccare sul pulsante Select Directory e selezionare la cartella o il disco contenente i dati cifrati quindi cliccare su Decrypt per avviare il processo di recupero dati. I dettagli dell'operazione verranno indicati nel riquadro alla sinistra dei pulsanti inoltre, all'interno della cartella in cui risiede l'eseguibile del tool, verrà generato un file di log.

Il tool consente anche di eliminare i file cifrati selezionando l'apposita opzione dal menu Settings.


StupidDecrypter, Delete Encrypted Files
FIG 3 - StupidDecrypter, Delete Encrypted Files



martedì 25 aprile 2017

Windows 10: Regolare la trasparenza dell'App Switcher tramite il registro di sistema

In ambiente Windows 10, premendo la combinazione di tasti ALT+Tab, viene aperta la finestra dell'app switcher che elenca le finestre aperte e permette di passare dall'una all'altra tramite la pressione del tasto TAB
Windows 10, app switcher
FIG 1 - Windows 10, app switcher

La trasparenza della finestra dell'app può essere modificata agendo tramite il registro di sistema
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  • Creare una nuova sottochiave cliccando, con il tasto destro del mouse, sulla chiave Explorer e selezionando, dal menu contestuale, la voce Nuovo e quindi Chiave. Rinominare la nuova chiave in MultitaskingView.
  • Posizionarsi sulla nuova chiave creata e, allo stesso modo del passo precedente, creare una nuova sottochiave rinominandola in AltTabViewHost;

    Windows 10, chiavi di registro trasparenza app switcher
    FIG 2 - Windows 10, chiavi di registro trasparenza app switcher
  • All'interno della chiave AltTabViewHost creare un nuovo valore DWORD 32 bit e assegnargli il nome Grid_backgroundPercent. Cliccare 2 volte sul valore creato, in Base selezionare Decimale mente nella casella Dati valore inserire un valore da 0 a 100 che rappresenta la percentuale di opacità (al valore più basso corrisponderà una maggiore trasparenza). Per default in Windows 10 viene utilizzata una percentuale di opacità del 85%.
    Windows 10, app switcher valore Grid_backgroundPercent
    FIG 3 - Windows 10, app switcher valore Grid_backgroundPercent
Dal seguente link è possibile scaricare i file .reg per modificare la trasparenza dell'app switcher.
DOWNLOAD




martedì 18 aprile 2017

MS Exchange: Riparare una casella di posta danneggiata

A partire da Exchange 2010 SP1 è stato introdotto il cmdlet New-MailboxRepairRequest che consente di rilevare e correggere problemi presenti su una casella di posta. Il comando può essere eseguito su una specifica casella di posta oppure su un intero database.

La riparazione della casella/database avviene online: non è più necessario procedere al dismount del database per la riparazione. L'accesso alla casella viene interrotto solo durante la sua riparazione. Nel caso in cui il comando venga eseguito su un intero database, l'accesso viene interrotto solo sulla casella in fase di riparazione mentre le altre continueranno ad essere accessibili.

La sintassi  è la seguente:
New-MailboxRepairRequest -Mailbox <MailboxIdParameter> [-Archive <SwitchParameter>] -CorruptionType <MailboxCorruptionType[]> [-Confirm [<SwitchParameter>]]

oppure

New-MailboxRepairRequest -Database <DatabaseIdParameter> [-StoreMailbox <StoreMailboxIdParameter>] -CorruptionType <MailboxCorruptionType[]> [-Confirm [<SwitchParameter>]]


Parametri Principali


  • CorruptionType
    Tale parametro è obbligatorio e consente di specificare il tipo di problema che si intende rilevare e correggere. I valori accettati sono
    SearchFolder  : Verifica e ripara la cartella di ricerca.
    AggregateCounts : Verifica che i conteggi di aggregazione sulle cartelle riflettano valori corretti.
    ProvisionedFolder : Verifica e ripara la struttura delle cartelle.
    FolderView :Verifica e ripara le viste delle cartelle che non restituiscono il contenuto corretto.

    Per specificare più tipi di errori che si intendono correggere basta indicarli separandoli con una virgola.

  • Database
    È obbligatorio specificare tale parametro a meno che non venga indicata una determinata casella. Come è facile intuire, tale parametro permette di specificare il database su cui eseguire il comando. In tale caso la ricerca e riparazione verranno eseguite su tutte le caselle presenti all'interno del database specificato. Per questioni di prestazioni è possibile avere attiva una sola richiesta di riparazione database.
    Non è possibile utilizzare questo parametro insieme al parametro Mailbox.
    Al parametro va passato il nome del database oppure il GUID.

  • Mailbox
    Il parametro Mailbox specifica la casella di posta su cui eseguire questo comando. Il parametro accetta uno dei seguenti valori:
    GUID
    Nome distinto (DN)
    Dominio\Account
    Nome dell'entità utente
    LegacyExchangeDN
    Indirizzo SMTP
    Alias

    Non è possibile utilizzare tale parametro insieme al parametro Database.

  • Archive
    Il parametro Archive indica che la verifica e la riparazione vanno eseguite sull'archivio online associato alla casella di posta specificata. Se il parametro non viene indicato, verrà verificata e riparata solo la casella di posta principale.
    Non è possibile utilizzare questo parametro insieme al parametro Database.

  • StoreMailbox
    Tale parametro consente di specificare il GUID della mailbox che si desidera ripristinare. Va utilizzato con il parametro Database. Per conoscere il GUID di una casella di posta eseguire il cmdlet Get-MailboxStatistics.

  • DetectOnly
    Il parametro DetectOnly indica che il comando deve segnalare gli errori senza correggerli.


Esempi


Esempio 1
New-MailboxRepairRequest –Mailbox giovanni.lubrano@contoso.com –CorruptionType SearchFolder, AggregateCounts, ProvisionedFolder, FolderView
Il comando esegue la verifica e la riparazione della mailbox specificata (giovanni.lubrano@contoso.com). Come si nota dal comando, al parametro CorruptionType sono stati passati tutti i valori possibili separati da una virgola.
New-MailboxRepairRequest, richiesta di riparazione mailbox
FIG 1 - New-MailboxRepairRequest, richiesta di riparazione mailbox


Esempio 2
New-MailboxRepairRequest -Mailbox giovanni.lubrano@contoso.com -CorruptionType SearchFolder -DetectOnly
Con tale comando vengono rilevati e segnalati eventuali problemi sulla cartella di ricerca. Non viene effettuata alcuna riparazione della casella di posta.


Esempio 3
New-MailboxRepairRequest -Database DB01 -CorruptionType FolderView
Il comando permette di rilevare e riparare gli errori di tipo FolderView su tutte le caselle che risiedono sul database DB01.


Esempio 4
New-MailboxRepairRequest -Mailbox giovanni.lubrano@contoso.com -CorruptionType ProvisionedFolder, SearchFolder, AggregateCounts, Folderview -Archive
Il comando permette di rilevare e riparare tutti i tipi di errori sull'archivio online connesso alla casella di posta indicata.



Output

Il cmdlet New-MailboxRepairRequest non restituisce alcun output sull'esito dell'operazione. Una volta lanciato il comando questo viene accodato ad eventuali altre richieste. Per visualizzare informazioni sull'esito dell'operazione è possibile procedere in 2 modi: tramite il registro eventi di Windows oppure utilizzando il cmdlet Get-MailboxRepairRequest.
  • Tramite registro eventi
  • Per visualizzare l'esito dell'operazione tramite il registro eventi è necessario aprire il registro Applicazione del registro eventi sul Server Exchange dove risiede la casella di posta. All'interno del registro è necessario ricercare gli eventi che hanno come origine la dicitura MSExchangeIS Mailbox. All'interno dell'evento la mailbox viene indicata con il GUID. L'ID evento varia a seconda dell'esito dell'operazione:
    ID EventoDescrizione
    10044La richiesta di ripristino delle cassette postali non è riuscita per le cartelle di provisioning. Questo ID evento viene creato insieme all'ID evento 10049.
    10045La richiesta di ripristino del database non è riuscita per le cartelle di provisioning. Questo ID evento viene creato insieme all'ID evento 10049.
    10046La richiesta di ripristino delle cartelle di provisioning è stata completata.
    10047La richiesta di ripristino a livello di cassetta postale è stata avviata.
    10048La richiesta di ripristino del database o della cassetta postale è stata completata.
    10049La richiesta di ripristino del database o della cassetta postale non è riuscita perché Exchange ha rilevato un problema a livello di database o un'altra attività è in esecuzione nel database. Per risolvere il problema, fare quanto segue:
    1. Eseguire nuovamente il comando.
    2. Se il problema persiste, eseguire Eseutil (Utilità database Exchange Server) per verificare la presenza di errori nell'unità.
    3. Eseguire Microsoft Exchange Troubleshooting Assistant v1.1 (ExTRA) con la proprietà tagISINTEG. Salvare le informazioni di tracciamento del registro ExTRA e contattare il servizio di supporto Microsoft.
    10050Non è stato possibile eseguire la richiesta di ripristino nel database perché quest'ultimo non supporta la tipologia di errore specificata nel comando. Questo problema può verificarsi se si esegue il comando da un server su cui è installata una versione di Exchange successiva a quella del database analizzato.
    10051La richiesta di ripristino del database è stata annullata perché il database è stato disinstallato.
    10059La richiesta di ripristino a livello di database è stata avviata.
    10062Sono stati rilevati dati danneggiati. Controllare i dettagli nel registro di ripristino per individuare il tipo di errore e se è stato corretto.


  • Tramite Get-MailboxRepairRequest
    Con MS Exchange 2013 è stato introdotto il cmdlet Get-MailboxRepairRequest che consente di reperire informazioni sull'esito/stato di una richiesta di riparazione.
    La sintassi è molto semplice
    Get-MailboxRepairRequest -Identity <StoreIntegrityCheckJobIdParameter>
    Get-MailboxRepairRequest -Database <DatabaseIdParameter>
    Get-MailboxRepairRequest -Mailbox <MailboxIdParameter>

    Con il parametro Identity va indicato un GUID complesso generato nel momento della richiesta (Il formato è <DatabaseGuid>\<RequestGuid>\<JobGuid>) mentre con i parametri Mailbox e Database vanno indicati rispettivamente la mailbox e il database su cui è stata effettuata la richiesta di riparazione.
    Get-MailboxRepairRequest, reperire l'esito della richiesta di riparazione
    FIG 2 - Get-MailboxRepairRequest, reperire l'esito della richiesta di riparazione

    Per visualizzare maggiori dettagli è possibile formattare l'output con Format-List ad es.
    Get-MailboxRepairRequest -Mailbox giovanni.lubrano@contoso.com |fl

    GetMailboxRepairRequest, maggiori informazioni con Format-List
    FIG 3 - GetMailboxRepairRequest, maggiori informazioni con Format-List






mercoledì 12 aprile 2017

Recuperare l'account e la password da un client di posta tramite Mail PassView

Per recuperare velocemente informazioni sugli account e relative password dai client di posta installati sul PC è possibile utilizzare il tool della NirSoft Mail PassView.
Il tool è gratuito, occupa pochi KB e può essere scaricato da http://www.nirsoft.net/utils/mailpv.html. Dalla pagina indicata è possibile scegliere 2 versioni: la versione che non richiede alcuna installazione, composta da un file zip contenente l'eseguibile e un file di help, e la versione installabile dotata di setup.
Il tool permette di recuperare gli account e relative password dai seguenti client di posta:
Outlook Express
Microsoft Outlook 2000 (solo account POP3 e SMTP)
Microsoft Outlook 2002/2003/2007/2010/2013/2016 (account POP3, IMAP, HTTP e SMTP)
Windows Mail
Windows Live Mail
IncrediMail
Eudora
Netscape 6.x/7.x (solo se la password non è cifrata con la master password)
Mozilla Thunderbird (solo se la password non è cifrata con la master password)
Group Mail Free
Yahoo! Mail (Se la password è salvata nell'applicazione Yahoo! Messenger)
Hotmail/MSN mail (se la password è salvata in MSN/Windows/Live Messenger)
Gmail (se la password è salvata in Gmail Notifier, Google Desktop, Google Talk)

L'utilizzo di Mail PassView è molto semplice: una volta avviato l'eseguibile (mailpv.exe) si aprirà una finestra contenente, oltre alla lista degli account e relative password salvati all'interno dei client di posta presenti sul PC, anche altre informazioni più o meno importanti. Il tool permette il salvataggio dei dati recuperati all'interno di un file di testo o nella clipboard.

NirSoft, Mail PassView
FIG 1 - NirSoft, Mail PassView




martedì 11 aprile 2017

Windows Quick Tip: Cancellare il file della memoria virtuale (pagefile.sys) all'arresto del sistema

Come ulteriore supporto alla RAM fisica, Windows utilizza la memoria virtuale: memoria implementata da un file pagefile.sys presente su disco fisso. Il Sistema Operativo libera spazio sulla RAM fisica "parcheggiando" le applicazioni meno utilizzate all'interno della memoria virtuale (molto più lenta rispetto alla RAM).
In questo articolo verrà mostrato come cancellare il file pagefile.sys all'arresto del sistema. Per effettuare tale operazione, senza l'utilizzo di tool di terze parti, è possibile procedere in 2 modi: tramite l'editor dei criteri di gruppo o tramite il registro di sistema (unica possibilità nel caso si utilizzi una versione Home/Basic di Windows).


Metodo 1: Tramite Editor dei criteri di gruppo locali

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'editor criteri di gruppo locali;
  • Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Configurazione computer->Impostazioni di Windows->Impostazioni sicurezza->Criteri locali->Opzioni di sicurezza;
  • Nei criteri elencati nella parte destra della finestra, cercare Arresto del sistema: cancella file di paging della memoria virtuale e aprirlo tramite doppio click;
    GPEDIT, Arresto del sistema; cancella file di paging della memoria virtuale
    FIG 1 - GPEDIT, Arresto del sistema; cancella file di paging della memoria virtuale
  • Cliccare su Attivato quindi confermare cliccando su OK per attivare la cancellazione automatica del file di paging all'arresto del sistema.

    GPEDIT, Attiva criterio per la cancellazione automatica del file di paging
    FIG 2 - GPEDIT, Attiva criterio per la cancellazione automatica del file di paging

Metodo 2: Tramite registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
  • Se non presente, creare un nuovo valore DWORD (32 bit) e nominarlo in ClearPageFileAtShutdown. Cliccare 2 volte sul valore appena creato e, nella casella Dati valore, digitare 1 quindi confermare cliccando su OK.
    Registro di sistema, ClearPageFileAtShutdown
    FIG 3 - Registro di sistema, ClearPageFileAtShutdown
Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la cancellazione automatica del file di paging all'arresto del sistema.
DOWNLOAD




lunedì 10 aprile 2017

Verificare se un sito web è sicuro con Zulu URL Risk Analyzer

Capita spesso di ricevere email, apparentemente inviate da mittenti attendibili, contenenti link a siti web. Cliccando su quei link si corre il rischio di visitare pagine web non sicure ed essere infettati da virus, malware o ransomware. Prima di aprire un sito web non conosciuto possiamo verificarne l'affidabilità utilizzando il servizio web gratuito Zulu URL Risk Analyzer di Zscaler.

Nel caso dei link presenti nelle email è possibile procedere in questo modo:
  • Cliccare con il tasto destro del mouse sul link/collegamento al sito web e, dal menu contestuale, selezionare la voce Copia collegamento ipertestuale (o Copia indirizzo link);
  • Aprire il sito web di  Zulu URL Risk Analyzer, http://zulu.zscaler.com/
  • Incollare, nell'apposita casella, l'indirizzo da analizzare e cliccare sul pulsante Submit URL.
    Zulu URL Risk Analyzer
    FIG 1 - Zulu URL Risk Analyzer
Il servizio effettuerà una serie di controlli di sicurezza, visibili nel dettaglio, e al termine visualizzerà un punteggio complessivo che rappresenterà il grado di affidabilità del sito.





venerdì 7 aprile 2017

Windows 10: Visualizzare l'ora in modo esteso nella System Tray

Per fare in modo che in Windows 10 l'orologio nella System Tray visualizzi anche i secondi è necessario agire tramite il registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi sulla chiave
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced
  • Creare un nuovo valore DWORD (32bit), rinominarlo in ShowSecondsInSystemClock e assegnargli il valore 1;

    Abilitare i secondi nell'orologio della System Tray, ShowSecondsInSystemClock
    FIG 1 - Abilitare i secondi nell'orologio della System Tray, ShowSecondsInSystemClock
  • Affinché le modifiche diventino effettive è necessario riavviare il sistema, disconnettersi e riconnettersi a Windows oppure riavviare Esplora risorse (da Gestione attività selezionare Esplora risorse quindi cliccare su Riavvia).
    Riavviare Esplora risorse tramite Gestione attività
    FIG 2 - Riavviare Esplora risorse tramite Gestione attività


Al termine l'orologio presente nella System Tray visualizzerà anche i secondi.
Orologio nella System Tray abilitato alla visualizzazione dei secondi
FIG 3 - Orologio nella System Tray abilitato alla visualizzazione dei secondi

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la visualizzazione dei secondi da parte dell'orologio della System Tray
DOWNLOAD