Windows: Gestire il ripristino di sistema tramite PowerShell

La funzione ripristino di sistema ha fatto il suo debutto con Windows XP. Tale funzionalità risulta molto utile nel caso si riscontrino problemi con Windows, permettendo il ripristino dell'intero sistema ad una data antecedente a quella in cui si è presentato il problema.

In quest'articolo verrà mostrato come gestire tale funzionalità tramite i seguenti comandi PowerShell:

Enable-ComputerRestore

Disable-ComputerRestore

Checkpoint-Computer

Get-ComputerRestorePoint

Restore-Computer

Per poter utilizzare tali cmdlet è necessario eseguire PowerShell come amministratore:

Dal menu Start ricercare PowerShell, quindi cliccare sul collegamento con il tasto destro del mouse e selezionare Esegui come amministratore. All'eventuale richiesta di conferma visualizzata dal UAC (Controllo dell'account utente), confermare cliccando su SI.

FIG 1 - Windows 10: Avviare PowerShell come amministratore

I cmdlet indicati permettono di abilitare/disabilitare la protezione ripristino di sistema, creare nuovi punti di ripristino ed eseguire il restore. Vediamoli in dettaglio.

Enable-ComputerRestore

Enable-ComputerRestore consente di abilitare il ripristino di sistema e specificare su quali dischi attivare la protezione. I dischi su cui va abilitata la protezione da parte del ripristino di sistema vanno specificati separati da virgola come indicato di seguito 
Enable-ComputerRestore "C:\", "D:\"

Sui dischi/partizioni non specificati esplicitamente all'interno del comando, la protezione verrà disabilitata. Impostazioni più dettagliate, come la percentuale del disco da utilizzare, possono essere settate tramite il Pannello di Controllo oppure agendo sulle chiavi di registro presenti in 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

Disable-ComputerRestore

La sintassi del comando Disable-ComputerRestore è del  tutto analoga a quella vista per Enable-ComputerRestore con la differenza che in questo caso la protezione viene disabilitata per i dischi/partizioni specificati.
Disable-ComputerRestore "C:\", "D:\"

Checkpoint-Computer

Checkpoint-Computer consente di creare un nuovo punto di ripristino. La sintassi è molto semplice, basta far seguire al comando una breve descrizione, contenuta tra apici, da assegnare al punto di ripristino. Ad es.

Checkpoint-Computer "Punto di ripristino antecedente ad Office 2016"

Get-ComputerRestorePoint

Il cmdlet Get-ComputerRestorePoint visualizza tutti i punti di ripristino disponibili e basta eseguirlo senza alcun parametro
Get-ComputerRestorePoint
Oltre alla data/ora e la descrizione del punto di ripristino viene riportato anche il relativo numero sequenziale (SequenceNumber).

Nel caso in cui sia già stato eseguito un ripristino di sistema è possibile verificare il punto di ripristino utilizzato tramite il comando 
Get-ComputerRestorePoint -LastStatus

Restore-Computer
Per ripristinare il sistema si utilizza il cmdlet Restore-Computer indicando il relativo SequenceNumber del punto di ripristino che si intende utilizzare:
Restore-Computer -RestorePoint <SequenceNumber>
Ad esempio, supponendo di voler ripristinare il punto di ripristino avente come SequenceNumber 10 il comando è il seguente
Restore-Computer -RestorePoint 10
Per conoscere il SequenceNumber del punto di ripristino più recente si utilizza il comando 
(Get-ComputerRestorePoint)[-1].sequencenumber
Combinando i 2 cmdlet Restore-Computer e Get-ComputerRestorePoint, come indicato di seguito, possiamo automatizzare il restore al punto di ripristino più recente:
Restore-Computer -RestorePoint (Get-ComputerRestorePoint)[-1].sequencenumber
Il cmdlet Restore-Computer viene eseguito senza richiedere alcuna conferma all'utente. Per visualizzare un messaggio di conferma bisogna aggiungere al cmdlet il parametro -confirm:$true
Restore-Computer -RestorePoint (Get-ComputerRestorePoint)[-1].sequencenumber -confirm:$true

FIG 2 - Cmdlet PowerShell per la gestione dei punti di ripristino

Ransomware Vindows

Il ransomware Vindows è stato individuato per la prima volta dal ricercatore di sicurezza Jakub Kroustek di AVG. Il ransomware, realizzato in C#, agisce sui file aventi le seguenti estensioni:

txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd

Il ransomware, individuando tali file sul sistema, provvede a crittografarli utilizzando l'algoritmo AES e aggiungendo l'estensione .Vindows. Terminata questa operazione apparirà a video la seguente schermata (FIG 1) in cui in cui si invita l'utente a chiamare un servizio di supporto per sbloccare i file dopo il pagamento del riscatto di $349.

FIG 1 - Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file

Chiamando il numero indicato nel messaggio, risponde un'operatore di un call center (presumibilmente dislocato in India) che si spaccia per il servizio di assistenza Microsoft. L'operatore accede da remoto al computer della vittima, apre una pagina del supporto Microsoft per poi sostituirla con un indirizzo diverso ospitato da JotForm. In questo modo la vittima, credendo di trovarsi ancora sul sito Microsoft, compilerà il modulo mostrato a video con i propri dati personali.

FIG 2 - Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito

All'interno del codice del ransomware sono presenti 2 API Pastebin (api_dev_key e api_user_key) utilizzate per salvare su una pagina Pastebin il nome del computer infetto e la chiave AES con cui sono stati crittografati i file.

Come Decriptare i file

Malwarebytes e un esperto di sicurezza indipendente @TheWack0lian, hanno rilasciato tool per decriptare le varianti di questo nuovo ransomware. Per recuperare i file criptati dal ransomware Vindows è possibile utilizzare uno dei seguenti tool:

• VindowsDecryptionTool di Malwarebytes 
• VindowsUnlocker di @TheWackOlian 

Il tool più semplice da utilizzare è VindowsUnlocker: una volta avviato basta cliccare sul pulsante Decrypt e attendere che termini il recupero dei file.

FIG 3 - VindowsUnlocker (Vindows Locker Decrypter)

Windows Quick Tip: Velocizzare la comparsa del pop-up menu

In ambiente Windows posizionando il mouse su un oggetto, come ad es. sulla data e ora nella system tray, dopo un pò appare un pop-up menu contenente del testo con maggiori informazioni sull'oggetto.

FIG 1 - Pop-up menu

Per anticipare o ritardare la visualizzazione del pop-up menu è possibile agire tramite il registro di sistema come indicato nei seguenti passaggi:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_CURRENT_USER\Control Panel\Mouse
• Modificare il Valore stringa nominato MouseHoverTime. Il valore di default è 400. Il valore indica il ritardo, espresso in millisecondi, nella visualizzazione del menu pertanto a valori più bassi corrisponde una maggiore velocità.

La modifica sarà effettiva al successivo logon.

FIG 2 - Editor del registro, MouseHoverTime

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.

FIG 1 - Gooligan

Verificare se il proprio account è stato violato

Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.

FIG 2 - Gooligan Checker

Windows 10 Exploit: Bypassare BitLocker durante l'aggiornamento del sistema

Premendo la combinazione di tasti SHIFT+F10 quando Windows 10 sta effettuando un'aggiornamento ad una nuova Build, viene aperto una CLI (command-line interface) con i privilegi di SYSTEM. Tramite tale command-line è possibile avere pieno accesso al disco della workstation anche se protetto da BitLocker.
Durante l'update di Windows 10, infatti, il sistema operativo provvede a disabilitare BitLocker mentre Windows PE (Preinstallation Environment) installa una nuova immagine del sistema.

Un malintenzionato può forzare il sistema ad effettuare l'aggiornamento e, tramite SHIFT+F10, accedere all'intero contenuto del disco o rendere la propria utenza Amministratore del sistema.
La versione Windows 10 LTSB (Long time Servicing Branch) non sembra affetta da tale vulnerabilità.

La vulnerabilità è stata scoperta dall'esperto di sicurezza Sami Laiho e Microsoft sta lavorando ad una fix per sistemare il problema.
SCCM (System Center Configuration Manager) può bloccare l'accesso alla CLI durante l'update se sulle postazioni viene creato un file con nome DisableCMDRequest.tag all'interno della directory %windir%\Setup\Scripts\.

MS Word Quick Tip: Aggiungere il comando Calcola alla barra di accesso rapido

MS Word integra un comando per analizzare le espressioni inserite come testi all'interno del documento. Per aver a portata di click il comando può essere utile posizionarlo all'interno della barra di accesso rapido procedendo nel seguente modo:

• Da MS Word cliccare sulla freccia che punta verso il basso all'interno della barra di accesso rapido e, dal menu che appare, selezionare la voce Altri comandi...;
  

  

  FIG 1 - MS Word, Barra di accesso rapido, Altri comandi...

• Nella casella a discesa nominata Scegli comandi da, selezionare la voce Tutti i comandi;
• Nell'elenco sottostante sono elencati tutti i comandi in ordine alfabetico. Selezionare il comando Calcola e cliccare sul pulsante Aggiungi, quindi confermare l'operazione cliccando su OK;
  

  

  FIG 2 - MS Word, Aggiungere il comando Calcola alla barra di accesso rapido

• A questo punto all'interno della barra di accesso rapido apparirà una nuova icona a forma di un cerchio;
  

  

  FIG 3 - MS Word, barra di accesso rapido con comando Calcola

• Per utilizzare il comando basta selezionare l'espressione aritmetica presente all'interno del documento e cliccare sul pulsante appena aggiunto alla barra. Il risultato sarà visualizzato all'interno della barra di stato di MS Word.
  
  

  

  FIG 4 - MS Word, risultato del calcolo

Windows 10: Abilitare percorsi lunghi

Fin dai tempi di Windows 95, Microsoft ha imposto un limite sulla massima lunghezza dei percorsi in Windows. Tale imposizione non è dovuta ad un limite intrinseco del file system utilizzato bensì ad una decisione arbitraria. In Windows 10 è possibile abilitare i percorsi lunghi (rimuovendo il limite massimo di 260 caratteri) seguendo le indicazioni riportate di seguito.

• Assicurarsi che il sistema operativo sia aggiornato;
• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
• Individuare il valore LongPathsEnabled. Eseguire un doppio click sull’elemento e, nella casella Dati valore, sostituire il valore 0 con 1.
• Riavviare il sistema per rendere la modifica effettiva.

La modifica può provocare problemi di compatibilità con applicazioni a 32bit obsolete.

Cliccando sul link di seguito è possibile scaricare i file .reg per abilitare/disabilitare i percorsi lunghi in Windows 10.
DOWNLOAD

FIG 1 - Windows 10, abilitare percorsi lunghi tramite LongPathsEnabled