Windows Quick Tip: Analizzare la velocità dei browser

La velocità di navigazione in Internet non dipende solo dalla velocità e qualità della connessione ma è influenzata da numerosi fattori: prestazioni del PC, browser utilizzato e relativo motore di rendering, plug-in installati, personalizzazioni effettuate, codice sorgente della pagina, ecc.
Per valutare la velocità del proprio browser e per verificare quanto incide sulle prestazioni un determinato plug-in o personalizzazione è possibile utilizzare uno dei tanti servizi online.
Uno dei servizi che è possibile utilizzare allo scopo è SunSpider: un benchmark in Javascript realizzato da WebKit. Il benchmark è in parte superato per valutare le reali prestazioni del motore di rendering ma fornisce alcune utili funzioni per confrontare i risultati dei vari test permettendoci di discriminare l'elemento che rallenta il nostro browser.
Per eseguire il benchmark raggiungere il seguente indirizzo https://webkit.org/perf/sunspider/sunspider.html e cliccare sul link Start Now!
Dopo pochi secondi verranno visualizzati i risultati e un indirizzo URL lunghissimo che è possibile salvare per effettuare un confronto con test successivi. All'interno della stessa pagina dei risultati, infatti, è presente un campo in cui è possibile incollare l'indirizzo URL di un test precedente ed effettuare un confronto immediato tra i risultati (FIG. 2).

FIG 1 - SunSpider risultati test

FIG 2 - Sunspider, confrontare i risultati dei test

MS Exchange: Reperire informazioni sul Default Configuration Domain Controller

Per determinare quale sia il Default Configuration Domain Controller è possibile agire tramite il registro eventi del server Exchange: dal registro Eventi->Applicazioni cercare l'evento con ID 2081.

L'informazione può essere ottenuta anche tramite EMS digitando il seguente comando:
Get-ADServerSettings | fl

L'output visualizzato dal cmdlet è simile al seguente e l'informazione di nostro interesse è indicata da DefaultConfigurationDomainController 

RunspaceId                                     : 70db61a2-743b-4d7b-9a26-76a049b449a4
DefaultGlobalCatalog                           : DC2.contoso.com
PreferredDomainControllerForDomain             : {}
DefaultConfigurationDomainController           : DC1.contoso.com
DefaultPreferredDomainControllers              : {DC2.contoso.com}
UserPreferredGlobalCatalog                     :
UserPreferredConfigurationDomainController     :
UserPreferredDomainControllers                 : {}
DefaultConfigurationDomainControllersForAllForests : {(contoso.com, DC1.contoso.com)}
DefaultGlobalCatalogsForAllForests     : {(contoso.com, DC2.contoso.com)}
RecipientViewRoot                              : contoso.com
ViewEntireForest                               : False
WriteOriginatingChangeTimestamp                : False
WriteShadowProperties                          : False
Identity                                       :
IsValid                                        : True
ObjectState                                    : New

Se si intende settare un nuovo Default Configuration Domain Controller utilizzare il cmdlet Set-ADServerSettings indicando il nome del server:
Set-ADServerSettings –PreferredServer <nome_server>
ad es.
Set-ADServerSettings –PreferredServer DC2.contoso.com

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.

FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).

FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 

Come recuperare i dati cifrati

Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.

FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.

FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su Sì per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.

FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.

FIG 6 - BadBlock: Emsisoft Decrypter

FIG 7 - BadBlock: Emsisoft Decrypter, risultati

Ransomware TeslaCrypt: Decriptare tutte le versioni

Gli sviluppatori di TeslaCrypt hanno provveduto alla chiusura dei server e, dietro richiesta dei ricercatori ESET, hanno messo a disposizione la master key per recuperare i dati cifrati da tutte le versioni del ransomware (incluse la 3.0 e 4.x).

Gli sviluppatori del ransomware hanno rilasciato la master key di TeslaCrypt su rete Tor all'indirizzo wbozgklno6x2vfrk.onion. 

La master key è la seguente
440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

A chi ha conservato i dati cifrati dal ransomware non resta che scaricare la versione aggiornata di TeslaDecoder  (sviluppato da BloodDolly di BleepingComputer) e procedere come segue.

• Scaricata l'ultima versione di TeslaDecoder, scompattarla e avviare il file TeslaDecoder.exe



FIG 1 - TeslaDecoder

• Cliccare sul pulsante Set Key. Nella casella Key (hex): incolliamo la master key e in Extension selezioniamo l'estensione dei nostri file cifrati (per i file cifrati con TeslaCrypt 4.x a cui non è stata modificata l'estensione selezionare <as original>), quindi cliccare Set Key
  
  
  


• Si ritorna alla schermata vista in FIG 1. Non resta che cliccare su Decrypt Folder e selezionare la cartella (o l'intero disco) contenente i nostri file cifrati

Windows 10: Abilitare la modifica del suono di logon a Windows

Nella nuova versione di Windows non è possibile modificare il suono eseguito al logon dell'utente tramite il Pannello di Controllo. Per riabilitare questa opzione è necessario agire tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su HKEY_CURRENT_USER\AppEvents\EventLabels\WindowsLogon
• Impostare a 0 il valore DWORD ExcludeFromCPL
  

  

  FIG 1 - ExcludeFromCPL

Una volta eseguita la modifica, accedendo al Pannello di Controllo -> Hardware e suoni e selezionando l'opzione Cambia Segnali acustici emessi dal sistema nella sezione Audio, noteremo l'opzione Accesso a Windows (FIG 2) che ci consente di modificare il suono emesso al logon dell'utente.

FIG 2 - Audio, Accesso a Windows

Per scaricare i file .reg che abilitano/disabilitano la modifica del suono al logon, cliccare su DOWNLOAD

Windows Quick Tip: Impedire il download automatico dei driver da parte di Windows Update

Oltre all'aggiornamento del sistema operativo e di altre applicazioni Microsoft, Windows Update provvede anche al download e all'installazione dei driver aggiornati delle periferiche. Tale comportamento è generalmente ben accetto ma nel caso in cui Windows non riconosca correttamente una periferica potrebbe installare driver errati e rendere il sistema instabile. É possibile impedire a Windows Update di eseguire il download dei driver delle periferiche.

In Windows 7, Windows 8 e 8.1 si può procedere nel seguente modo:

• Accedere al Pannello di controllo e accedere alla sezione Sistema e sicurezza/Sistema (oppure premere la combinazione di tasti WIN+Pausa);
• Cliccare sul collegamento Impostazioni di sistema avanzate;
  

  

  FIG 1 - Impostazioni di sistema avanzate

• Selezionare la scheda Hardware, quindi cliccare su Impostazioni installazione dispositivo;
  
  

  

  FIG 2 - Proprietà di sistema - Hardware

• Nella schermata successiva selezionare l'opzione Chiedi ogni volta per far apparire altre opzioni. Selezionare Non installare mai il driver da Windows Update quindi salvare le modifiche cliccando sull'apposito tasto.
  
  

  

  FIG 3 - Impostazioni installazione dispositivo

In Windows 10 le schermate sono state modificare ma possiamo eseguire l'operazione agendo tramite il registro di sistema.

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DriverSearching
• Impostare a 0 il valore DWORD SearchOrderConfig

FIG 4 - SearchOrderConfig

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare il download automatico dei driver da parte di Windows Update
DOWNLOAD

Windows Quick Tip: Visualizzare lo stato di BitLocker tramite prompt dei comandi

BitLocker è una funzionalità introdotta da Microsoft nei suoi sistemi operativi a partire dalle versioni Enterprise ed Ultimate di Windows Vista. Tale funzionalità consente di proteggere i dati cifrandoli tramite l'algoritmo AES con chiave a 128bit. BitLocker consente di cifrare interi drive, compresi drive esterni e quello contenente il sistema operativo. Per verificare lo stato dei dischi cifrati con BitLocker è possibile utilizzare il comando manage-bde -status

• Avviare il prompt dei comandi come amministratore
• Digitare il comando manage-bde -status seguito da invio. L'output del comando sarà simile a quello visibile in FIG 1 e FIG 2 con le informazioni relative ai dischi e alla crittografia.

FIG 1 - Manage-bde -status

FIG 2 - Manage-bde -status disco cifrato

Per visualizzare le informazioni di uno specifico disco va indicato all'interno del comando. Ad es. per conoscere lo stato del disco c: va eseguito il comando manage-bde -status c: