lunedì 20 maggio 2019

Windows 10: Disabilitare il messaggio animato al primo logon

Dopo l'installazione di Windows 10, l'aggiornamento ad una nuova versione del sistema operativo o la creazione di un nuovo account vengono visualizzate una serie di schermate animate al primo logon come la nota schermata con il messaggio Ciao, Stiamo preparando il sistema, Stiamo scaricando gli aggiornamenti, ecc.
Windows 10, Animazione primo accesso
FIG 1 - Windows 10, Animazione primo accesso

Per disabilitare tali schermate è possibile procedere tramite l'Editor Criteri di gruppo locali (solo con le versioni Professional o Enterprise di Windows) oppure tramite il registro di sistema (quest'ultima è l'unica via percorribile nel caso di Windows Home).


Metodo 1: Disabilitare il messaggio animato tramite l'Editor Criteri di gruppo locali

  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Configurazione computer -> Modelli amministrativi -> Sistema -> Accesso;
  • Nel pannello di destra cliccare 2 volte con il tasto sinistro del mouse sulla voce Mostra animazione primo accesso;
    Windows 10, Disabilitare il messaggio animato tramite l'Editor Criteri di gruppo locali
    FIG 2 - Windows 10, Disabilitare il messaggio animato tramite l'Editor Criteri di gruppo locali
  • Selezionare l'opzione Disattivata e cliccare su OK per confermare la modifica.
    Disattiva Mostra animazione primo accesso
    FIG 3 - Disattiva Mostra animazione primo accesso

Metodo 2: Disabilitare il messaggio animato tramite il registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo EnableFirstLogonAnimation e valorizzarlo ad 0.
    FIG 4 - Disabilitare il messaggio animato tramite registro di sistema
Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare l'animazione al primo accesso.
DOWNLOAD




giovedì 16 maggio 2019

Windows 10: Disabilitare l'aggiornamento dei driver tramite Windows Update

Tramite Windows Update, Windows 10 scarica e installa automaticamente le ultime versioni dei driver. Avere i driver sempre aggiornati contribuisce a mantenere un sistema sicuro e con performance al top, tuttavia nel caso in cui Windows non riconosca correttamente una periferica potrebbe installare driver errati e rendere il sistema instabile. In questi casi è utile poter disabilitare l'aggiornamento automatico dei driver da parte di Windows 10. A partire dalla build 15019 di Windows non è più possibile disabilitare l'aggiornamento automatico dei driver tramite GUI ma è necessario procedere in altro modo.



Metodo 1: Disabilitare l'aggiornamento automatico dei driver tramite registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo ExcludeWUDriversInQualityUpdate e valorizzarlo ad 1.
    Windows 10, Disabilita aggiornamento automatico driver da parte di Windows Update
    FIG 1 - Windows 10, Disabilita aggiornamento automatico driver da parte di Windows Update
Per ripristinare il comportamento standard basta eliminare il valore ExcludeWUDriversInQualityUpdate creato.
Dal seguente link è possibile scaricare i file .reg che abilitano/disabilitano l'aggiornamento automatico dei driver da parte di Windows Update
DOWNLOAD


Metodo 2: Disabilitare l'aggiornamento automatico dei driver tramite l'Editor Criteri di gruppo locali

  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Windows Update
  • Sulla parte destra cliccare 2 volte con il tasto sinistro del mouse sulla voce Non includere i driver con gli aggiornamenti di Windows;
    Windows 10, Editor Criteri di gruppo locali
    FIG 2 - Windows 10, Editor Criteri di gruppo locali
  • Nella finestra successiva, selezionare l'opzione Attivata e cliccare su OK per confermare;
    Non includere i driver con gli aggiornamenti di Windows
    FIG 3 - Non includere i driver con gli aggiornamenti di Windows





martedì 14 maggio 2019

Windows 10: Aprire l'ultima finestra attiva dalla barra delle applicazioni

Quando si hanno più finestre attive di uno stesso programma, Windows le raggruppa in un unica icona sulla barra della applicazioni. Cliccando con il tasto sinistro del mouse sull'icona, Windows visualizza le anteprime delle finestre aperte. 
Windows 10, Anteprima finestre barra applicazioni
FIG 1 - Windows 10, Anteprima finestre barra applicazioni
Per fare in modo che cliccando sull'icona del gruppo viene aperta l'ultima finestra attiva è possibile procedere in 2 modi:


Metodo 1: Tramite scorciatoia da tastiera

Tenere premuto il tasto CTRL e cliccare, con il tasto sinistro del mouse, sull'icona della barra delle applicazioni per aprire l'ultima finestra attiva.


Metodo 2: Agendo tramite registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Creare un valore DWORD (32 bit), rinominarlo LastActiveClick e valorizzarlo ad 1;
  • Far disconnettere/riconnettere l'utente al sistema o terminare e riavviare il processo explorer.exe.
    Windows 10, Editor del Registro di sistema, LastActiveClick
    FIG 2 - Windows 10, Editor del Registro di sistema, LastActiveClick
Per ripristinare il comportamento di default eliminare il valore LastActiveClick.

I file .reg per abilitare/disabiltare LastActiveClick possono essere scaricati dal seguente link.
DOWNLOAD





domenica 12 maggio 2019

Ransomware NamPoHyu Virus (MegaLocker Virus): Recupero dati

Una nuova famiglia di ransomware conosciuta con il nome NamPoHyu Virus o MegaLocker Virus è da qualche mese in circolazione. La caratteristica di questo nuovo ransomware è il suo modo di agire leggermente diverso da quelli visti fino ad ora.
Generalmente un ransomware infetta il computer della vittima attraverso uno dei canali di infezione (email, malware, siti infetti,ecc) ed, eseguito in locale sulla macchina compromessa, procede a cifrare i dati. I ransomware di questa nuova famiglia, invece, vengono eseguiti da remoto sul computer di chi esegue l'attacco, ricerca i server samba accessibili, effettua un brute forcing di eventuali password di accesso quindi cifra i dati e crea un file con le informazioni sul riscatto.

Il ransomware è stato individuato per la prima volta a marzo 2019 e identificato con il nome MegaLocker Virus. In poco tempo ha fatto numerose vittime cifrando i dati presenti sui NAS non correttamente configurati. 
Ai file cifrati viene aggiuna l'estensione .crypted e viene creato il file !DECRYPT_INSTRUCTION.TXT contenente le istruzioni per il pagamento del riscatto che varia da 250$ per un utente privato agli 800-1000$ per un'azienda. All'intero delle istruzioni è indicato di contattare l'indirizzo alexshkipper@firemail.cc per il pagamento del riscatto e, per dimostrare di essere un utente privato, viene richiesto di inviare una foto personale (di un compleanno, hobby, in vacanza, ecc).
Ad aprile il nome del ransomware è stato modificato in NamPoHyu Virus e ai file cifrati viene ora aggiunta l'estensione .NamPoHyu.  All'interno delle istruzioni viene indicato un sito TOR a cui collegarsi e reperire informazioni sul pagamento del riscatto.


NamPoHyu file !DECRYPT_INSTRUCTION.TXT
FIG 1 - NamPoHyu file !DECRYPT_INSTRUCTION.TXT 

La scelta di attaccare i server Samba non è casuale, basta effettuare una semplice ricerca in Shodan (port:445 "SMB Status Authentication: disabled") per individuare oltre 500 mila possibili obiettivi. Il protocollo Samba è molto diffuso ed impiegato per condividere file, cartelle, stampanti in rete anche tra sistemi operativi diversi. Nonostante in passato tale protocollo sia salito più volte agli onori della cronaca per essere stato sfruttato da diversi attacchi informatici (come ad es. nel caso del ransomware WannaCry), continua ad essere configurato e utilizzato in maniera poco sicura.
Shodan, Ricerca server Samba
FIG 2 - Shodan, Ricerca server Samba




Recuperare i dati cifrati da NamPoHyu Virus (MegaLocker Virus)

La nota società di sicurezza Emsisoft, ha sviluppato un tool che consente di decriptare i dati cifrati dal ransomware NamPoHyu Virus (o MegaLocker Virus). Il tool può essere scaricato dal seguente link
DOWNLOAD

Una volta avviato il tool vengono mostrate le condizioni di utilizzo che vanno accettate cliccando sul pulsante Yes per proseguire.
Emsisoft Decrypter for MegaLocker licenza
FIG 3 - Emsisoft Decrypter for MegaLocker licenza

Cliccare sul pulsante Browse e selezionare il file !DECRYPT_INSTRUCTION.TXT  quindi cliccare sul pulsante Start.
Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT
FIG 4 - Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT

Terminato il processo il tool visualizza una finestra di dialogo con la chiave per decriptare i dati. 
Emsisoft Decrypter for MegaLocker, Decryption Key
FIG 5 - Emsisoft Decrypter for MegaLocker, Decryption Key

Cliccando sul pulsante OK nella finestra di dialogo verrà aperta la finestra principale del tool che consente di selezionare la cartella o il disco contenente i file da decriptare.
Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati
FIG 6 - Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati

Il processo di recupero dei dati va avviato cliccando sul pulsante Decrypt. La finestra passa automaticamente alla scheda Results dove viene mostrato lo stato dell'operazione di recupero.
Emsisoft Decrypter for MegaLocker, Procedura completata
FIG 7 - Emsisoft Decrypter for MegaLocker, Procedura completata
Al termine è possibile salvare il log dell'operazione cliccando sul pulsante Save log.


Se la chiave non viene trovata e viene visualizzato il messaggio in FIG 8 è probabile che i dati siano stati cifrati con una variante aggiornata del ransomware. In questi casi non resta che incrociare le dita e attendere una soluzione o una nuova versione del tool.
Emsisoft Decrypter for MegaLocker, Chiave non trovata
FIG 8 - Emsisoft Decrypter for MegaLocker, Chiave non trovata








venerdì 10 maggio 2019

Windows 10: Disabilitare le Live Tile

Una Tile è la rappresentazione di un'applicazione all'interno del menu Start di Windows 10. Le Tile possono essere sia statiche con un contenuto di default (generalmente il logo e il nome dell'applicazione) che Live con un contenuto dinamico che mostra aggiornamenti dai propri contatti , su un appuntamento, su un email ricevuta, ecc. senza la necessità di aprire la relativa applicazione.

Le Live Tile possono essere disabilitate agendo tramite registro di sistema:
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo NoTileApplicationNotification e valorizzarlo ad 1;

    Windows 10, Disabilita Live Tile
    FIG 1 - Windows 10, Disabilita Live Tile
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo ClearTilesOnExit e valorizzarlo ad 1;
  • Disconnettere e riconnettere l'utente al sistema
Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare le Live Tile
DOWNLOAD
Windows 10, Live Tile attivate
FIG 2 - Windows 10, Live Tile attivate

Windows 10, Live Tile disattivate
FIG 3 - Windows 10, Live Tile disattivate





mercoledì 8 maggio 2019

Windows 10: Disabilitare il Centro Notifiche

In Windows 10 il Centro Notifiche raccoglie tutte le notifiche provenienti dalle applicazioni e dal sistema operativo permettendo all'utente di visualizzarle in un momento successivo cliccando sull'apposita icona presente nella system tray. Tale funzionalità risulta utile per visualizzare tutte le notifiche non lette: le notifiche, infatti, rimarranno all'interno del Centro Notifiche finché non lette dall'utente.
Windows 10, Centro Notifiche
FIG 1 - Windows 10, Centro Notifiche

Il Centro Notifiche può essere disabilitato e di seguito verranno mostrati 2 metodi per farlo. Con il Centro Notifiche disabilitato le notifiche appariranno temporaneamente come pop-up sulla system tray.


Windows 10, Centro Notifiche disabilitato
FIG 2 - Windows 10, Centro Notifiche disabilitato


Metodo 1: Disabilitare il Centro Notifiche tramite il registro di sistema

  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Explorer
  • Creare, se non presente, un valore DWORD (32 bit), rinominarlo DisableNotificationCenter e valorizzarlo ad 1;
    Disabilitazione Centro Notifiche tramite registro di sistema
    FIG 3 - Disabilitazione Centro Notifiche tramite registro di sistema
  • Far disconnettere/riconnettere l'utente al sistema
Per ripristinare il Centro Notifiche basterà eliminare il valore DisableNotificationCenter creato in precedenza e far disconnettere/riconnettere l'utente.

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il Centro Notifiche in Windows 10. Una volta importato il file .reg è necessario riavviare il sistema o far disconnettere/riconnettere l'utente al sistema.
DOWNLOAD




Metodo 2: Disabilitare il Centro Notifiche tramite l'Editor Criteri di gruppo locali

  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Configurazione utente -> Modelli amministrativi -> Menu Start e barra delle applicazioni
  • Sulla parte destra cliccare 2 volte con il tasto sinistro del mouse sulla voce Rimuovi notifiche e centro notifiche;
    Editor Criteri di gruppo locali, Rimuovi notifiche e centro notifiche
    FIG 4 - Editor Criteri di gruppo locali, Rimuovi notifiche e centro notifiche
  • Nella finestra successiva, selezionare l'opzione Attivata e cliccare su OK per confermare;
    Disabilitazione Centro Notifiche tramite Editor Criteri di gruppo locali
    FIG 5 - Disabilitazione Centro Notifiche tramite Editor Criteri di gruppo locali
  • Far disconnettere/riconnettere l'utente al sistema.

Per riabilitare il Centro Notifiche basterà ripetere i passaggi sopra mostrati e selezionare l'opzione Non configurata o Disattivata. Anche in questo caso, affinché la modifica diventi effettiva, è necessario far disconnettere e riconnettere l'utente al sistema




lunedì 6 maggio 2019

PowerShell: Blocca computer

Tramite PowerShell è possibile accedere alle funzioni API di basso livello utilizzando le firme in stile C#. Le funzioni API importate vengono aggiunte come nuovi tipi. In questo breve articolo verrà esposta proprio tale funzionalità mediante PowerShell.
Nel seguente codice viene mostrato come, tramite DllImport, viene importata la funzione di Win32 LockWorkStation() che, aggiunta come nuovo tipo nell'istruzione successiva, è richiamata per bloccare il computer.


$firma = '[DllImport("user32.dll",SetLastError=true)]
public static extern bool LockWorkStation();'
$nt = Add-Type -memberDefinition $firma -name api -namespace stuff -passthru
$null = $nt::LockWorkStation()
PowerShell, Blocca computer tramite Win32 LockWorkStation()
FIG 1 - PowerShell, Blocca computer tramite Win32 LockWorkStation()

Clicca Qui per scaricare il file .PS1.