martedì 14 maggio 2019

Windows 10: Aprire l'ultima finestra attiva dalla barra delle applicazioni

Quando si hanno più finestre attive di uno stesso programma, Windows le raggruppa in un unica icona sulla barra della applicazioni. Cliccando con il tasto sinistro del mouse sull'icona, Windows visualizza le anteprime delle finestre aperte. 
Windows 10, Anteprima finestre barra applicazioni
FIG 1 - Windows 10, Anteprima finestre barra applicazioni
Per fare in modo che cliccando sull'icona del gruppo viene aperta l'ultima finestra attiva è possibile procedere in 2 modi:


Metodo 1: Tramite scorciatoia da tastiera

Tenere premuto il tasto CTRL e cliccare, con il tasto sinistro del mouse, sull'icona della barra delle applicazioni per aprire l'ultima finestra attiva.


Metodo 2: Agendo tramite registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Creare un valore DWORD (32 bit), rinominarlo LastActiveClick e valorizzarlo ad 1;
  • Far disconnettere/riconnettere l'utente al sistema o terminare e riavviare il processo explorer.exe.
    Windows 10, Editor del Registro di sistema, LastActiveClick
    FIG 2 - Windows 10, Editor del Registro di sistema, LastActiveClick
Per ripristinare il comportamento di default eliminare il valore LastActiveClick.

I file .reg per abilitare/disabiltare LastActiveClick possono essere scaricati dal seguente link.
DOWNLOAD





domenica 12 maggio 2019

Ransomware NamPoHyu Virus (MegaLocker Virus): Recupero dati

Una nuova famiglia di ransomware conosciuta con il nome NamPoHyu Virus o MegaLocker Virus è da qualche mese in circolazione. La caratteristica di questo nuovo ransomware è il suo modo di agire leggermente diverso da quelli visti fino ad ora.
Generalmente un ransomware infetta il computer della vittima attraverso uno dei canali di infezione (email, malware, siti infetti,ecc) ed, eseguito in locale sulla macchina compromessa, procede a cifrare i dati. I ransomware di questa nuova famiglia, invece, vengono eseguiti da remoto sul computer di chi esegue l'attacco, ricerca i server samba accessibili, effettua un brute forcing di eventuali password di accesso quindi cifra i dati e crea un file con le informazioni sul riscatto.

Il ransomware è stato individuato per la prima volta a marzo 2019 e identificato con il nome MegaLocker Virus. In poco tempo ha fatto numerose vittime cifrando i dati presenti sui NAS non correttamente configurati. 
Ai file cifrati viene aggiuna l'estensione .crypted e viene creato il file !DECRYPT_INSTRUCTION.TXT contenente le istruzioni per il pagamento del riscatto che varia da 250$ per un utente privato agli 800-1000$ per un'azienda. All'intero delle istruzioni è indicato di contattare l'indirizzo alexshkipper@firemail.cc per il pagamento del riscatto e, per dimostrare di essere un utente privato, viene richiesto di inviare una foto personale (di un compleanno, hobby, in vacanza, ecc).
Ad aprile il nome del ransomware è stato modificato in NamPoHyu Virus e ai file cifrati viene ora aggiunta l'estensione .NamPoHyu.  All'interno delle istruzioni viene indicato un sito TOR a cui collegarsi e reperire informazioni sul pagamento del riscatto.


NamPoHyu file !DECRYPT_INSTRUCTION.TXT
FIG 1 - NamPoHyu file !DECRYPT_INSTRUCTION.TXT 

La scelta di attaccare i server Samba non è casuale, basta effettuare una semplice ricerca in Shodan (port:445 "SMB Status Authentication: disabled") per individuare oltre 500 mila possibili obiettivi. Il protocollo Samba è molto diffuso ed impiegato per condividere file, cartelle, stampanti in rete anche tra sistemi operativi diversi. Nonostante in passato tale protocollo sia salito più volte agli onori della cronaca per essere stato sfruttato da diversi attacchi informatici (come ad es. nel caso del ransomware WannaCry), continua ad essere configurato e utilizzato in maniera poco sicura.
Shodan, Ricerca server Samba
FIG 2 - Shodan, Ricerca server Samba




Recuperare i dati cifrati da NamPoHyu Virus (MegaLocker Virus)

La nota società di sicurezza Emsisoft, ha sviluppato un tool che consente di decriptare i dati cifrati dal ransomware NamPoHyu Virus (o MegaLocker Virus). Il tool può essere scaricato dal seguente link
DOWNLOAD

Una volta avviato il tool vengono mostrate le condizioni di utilizzo che vanno accettate cliccando sul pulsante Yes per proseguire.
Emsisoft Decrypter for MegaLocker licenza
FIG 3 - Emsisoft Decrypter for MegaLocker licenza

Cliccare sul pulsante Browse e selezionare il file !DECRYPT_INSTRUCTION.TXT  quindi cliccare sul pulsante Start.
Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT
FIG 4 - Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT

Terminato il processo il tool visualizza una finestra di dialogo con la chiave per decriptare i dati. 
Emsisoft Decrypter for MegaLocker, Decryption Key
FIG 5 - Emsisoft Decrypter for MegaLocker, Decryption Key

Cliccando sul pulsante OK nella finestra di dialogo verrà aperta la finestra principale del tool che consente di selezionare la cartella o il disco contenente i file da decriptare.
Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati
FIG 6 - Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati

Il processo di recupero dei dati va avviato cliccando sul pulsante Decrypt. La finestra passa automaticamente alla scheda Results dove viene mostrato lo stato dell'operazione di recupero.
Emsisoft Decrypter for MegaLocker, Procedura completata
FIG 7 - Emsisoft Decrypter for MegaLocker, Procedura completata
Al termine è possibile salvare il log dell'operazione cliccando sul pulsante Save log.


Se la chiave non viene trovata e viene visualizzato il messaggio in FIG 8 è probabile che i dati siano stati cifrati con una variante aggiornata del ransomware. In questi casi non resta che incrociare le dita e attendere una soluzione o una nuova versione del tool.
Emsisoft Decrypter for MegaLocker, Chiave non trovata
FIG 8 - Emsisoft Decrypter for MegaLocker, Chiave non trovata








venerdì 10 maggio 2019

Windows 10: Disabilitare le Live Tile

Una Tile è la rappresentazione di un'applicazione all'interno del menu Start di Windows 10. Le Tile possono essere sia statiche con un contenuto di default (generalmente il logo e il nome dell'applicazione) che Live con un contenuto dinamico che mostra aggiornamenti dai propri contatti , su un appuntamento, su un email ricevuta, ecc. senza la necessità di aprire la relativa applicazione.

Le Live Tile possono essere disabilitate agendo tramite registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo NoTileApplicationNotification e valorizzarlo ad 1;

    Windows 10, Disabilita Live Tile
    FIG 1 - Windows 10, Disabilita Live Tile
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo ClearTilesOnExit e valorizzarlo ad 1;
  • Disconnettere e riconnettere l'utente al sistema
Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare le Live Tile
DOWNLOAD
Windows 10, Live Tile attivate
FIG 2 - Windows 10, Live Tile attivate

Windows 10, Live Tile disattivate
FIG 3 - Windows 10, Live Tile disattivate





mercoledì 8 maggio 2019

Windows 10: Disabilitare il Centro Notifiche

In Windows 10 il Centro Notifiche raccoglie tutte le notifiche provenienti dalle applicazioni e dal sistema operativo permettendo all'utente di visualizzarle in un momento successivo cliccando sull'apposita icona presente nella system tray. Tale funzionalità risulta utile per visualizzare tutte le notifiche non lette: le notifiche, infatti, rimarranno all'interno del Centro Notifiche finché non lette dall'utente.
Windows 10, Centro Notifiche
FIG 1 - Windows 10, Centro Notifiche

Il Centro Notifiche può essere disabilitato e di seguito verranno mostrati 2 metodi per farlo. Con il Centro Notifiche disabilitato le notifiche appariranno temporaneamente come pop-up sulla system tray.


Windows 10, Centro Notifiche disabilitato
FIG 2 - Windows 10, Centro Notifiche disabilitato


Metodo 1: Disabilitare il Centro Notifiche tramite il registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo DisableNotificationCenter e valorizzarlo ad 1;
    Disabilitazione Centro Notifiche tramite registro di sistema
    FIG 3 - Disabilitazione Centro Notifiche tramite registro di sistema
  • Far disconnettere/riconnettere l'utente al sistema
Per ripristinare il Centro Notifiche basterà eliminare il valore DisableNotificationCenter creato in precedenza e far disconnettere/riconnettere l'utente.

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il Centro Notifiche in Windows 10. Una volta importato il file .reg è necessario riavviare il sistema o far disconnettere/riconnettere l'utente al sistema.
DOWNLOAD




Metodo 2: Disabilitare il Centro Notifiche tramite l'Editor Criteri di gruppo locali

  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Configurazione utente -> Modelli amministrativi -> Menu Start e barra delle applicazioni
  • Sulla parte destra cliccare 2 volte con il tasto sinistro del mouse sulla voce Rimuovi notifiche e centro notifiche;
    Editor Criteri di gruppo locali, Rimuovi notifiche e centro notifiche
    FIG 4 - Editor Criteri di gruppo locali, Rimuovi notifiche e centro notifiche
  • Nella finestra successiva, selezionare l'opzione Attivata e cliccare su OK per confermare;
    Disabilitazione Centro Notifiche tramite Editor Criteri di gruppo locali
    FIG 5 - Disabilitazione Centro Notifiche tramite Editor Criteri di gruppo locali
  • Far disconnettere/riconnettere l'utente al sistema.

Per riabilitare il Centro Notifiche basterà ripetere i passaggi sopra mostrati e selezionare l'opzione Non configurata o Disattivata. Anche in questo caso, affinché la modifica diventi effettiva, è necessario far disconnettere e riconnettere l'utente al sistema




lunedì 6 maggio 2019

PowerShell: Blocca computer

Tramite PowerShell è possibile accedere alle funzioni API di basso livello utilizzando le firme in stile C#. Le funzioni API importate vengono aggiunte come nuovi tipi. In questo breve articolo verrà esposta proprio tale funzionalità mediante PowerShell.
Nel seguente codice viene mostrato come, tramite DllImport, viene importata la funzione di Win32 LockWorkStation() che, aggiunta come nuovo tipo nell'istruzione successiva, è richiamata per bloccare il computer.


$firma = '[DllImport("user32.dll",SetLastError=true)]
public static extern bool LockWorkStation();'
$nt = Add-Type -memberDefinition $firma -name api -namespace stuff -passthru
$null = $nt::LockWorkStation()
PowerShell, Blocca computer tramite Win32 LockWorkStation()
FIG 1 - PowerShell, Blocca computer tramite Win32 LockWorkStation()

Clicca Qui per scaricare il file .PS1.






domenica 5 maggio 2019

Windows 10: Forzare la chiusura delle applicazioni al riavvio/spegnimento/disconnessione di Windows

Se le applicazioni non si chiudono automaticamente (ad esempio a causa di documenti modificati e non ancora salvati) quando si riavvia/spegne o ci si disconnette da Windows 10, il sistema operativo attende, per default, 5 secondi (HungAppTimeout) prima di visualizzare una finestra in cui viene richiesto all'utente di annullare l'arresto/riavvio/disconnessione o procedere comunque.
Se non viene selezionata alcuna opzione entro 1 minuto, Windows 10 annulla l'arresto/riavvio/disconnessione ritornando al desktop.
Windows 10, Chiusura applicazione in fase di arresto del sistema
FIG 1 - Windows 10, Chiusura applicazione in fase di arresto del sistema

Si può obbligare il sistema operativo a forzare la chiusura delle applicazioni (anche se sono aperti documenti non salvati) senza richiedere alcuna interazione con l'utente
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Per forzare la chiusura delle applicazioni per tutti gli utenti posizionarsi su
    HKEY_USERS\.DEFAULT\Control Panel\Desktop
    se invece si intende effettuare la modifica solo per l'utente corrente posizionarsi su
    HKEY_CURRENT_USER\Control Panel\Desktop
  • Creare, se non presente, un valore Stringa, rinominarlo AutoEndTasks e valorizzarlo ad 1;
  • Affinché la modifica abbia effetto disconnettersi e riconnettersi al sistema.

Per ripristinare le impostazioni di default basta eliminare il valore Stringa AutoEndTasks oppure assegnargli valore 0.

Dal seguente link è possibile scaricare i file .reg che abilitano/disabilitano la chiusura forzata delle applicazioni per tutti gli utenti o solo per l'utente corrente.
DOWNLOAD







venerdì 3 maggio 2019

Windows 10: Velocizzare il caricamento del Desktop e applicazioni all'avvio

All'avvio Windows attende 10 secondi prima di aprire i programmi. Questo ritardo permette al sistema operativo di completare il caricamento in memoria dei servizi e processi necessari al sistema prima che altre applicazioni richiedano le risorse. Su PC veloci e dotati di dischi SSD questo ritardo può essere anche disabilitato agendo tramite il registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Serialize
    se la chiave Serialize non è presente crearla manualmente e selezionarla;
  • All'interno della chiave Serialize creare, se non presente, un valore DWORD (32 bit), rinominarlo StartupDelayInMSec e valorizzarlo ad 0;
    Windows 10, Disabilita delay all'avvio
    FIG 1 - Windows 10, Disabilita delay all'avvio
  • Affinché le modifiche abbiano effetto riavviare il sistema.
Per riabilitare il delay basta eliminare il valore StartupDelayInMSec.

Per chi non si sente a proprio agio ad mettere le mani all'interno del registro di sistema può scaricare i file .reg per abilitare/disabilitare il ritardo all'avvio del sistema dal seguente link
DOWNLOAD