{
	"id": "c67317fe-66b9-4e79-b6eb-97915c5da357",
	"created_at": "2026-04-06T00:15:49.757521Z",
	"updated_at": "2026-04-10T03:24:30.171512Z",
	"deleted_at": null,
	"sha1_hash": "66bb8b5e617439e3af82783bcb71571980a8b31c",
	"title": "Inside view of Lyposit aka (for its friends) Lucky LOCKER",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1287923,
	"plain_text": "Inside view of Lyposit aka (for its friends) Lucky LOCKER\r\nArchived: 2026-04-05 16:01:18 UTC\r\n2012-11-29 - Panel\r\nThe Lyposit Ransomware appeared wild in second week of September 3 days after this post :\r\nLucky LOCKER advert (note the IR )\r\n------------------------------------------\r\nText of the Advert (click to unfold)\r\n1)Чистый Вин Апи. \r\n2)Практическая неубиваемость локера, в том числе и через безопасный режим, и даже если грузится с\r\nзагрузочного диска.\r\nТо есть тот же локер от гансты можно отрубить через ctrl+alt+delete )) о уровне можете судить сами...\r\nСмысл в чем что локер делает такие изменения системы - что даже если юзер каким то образом\r\nумудриться убить процес - ему прийдеться реинстал винды делать - так как система нормально работать не\r\nбудет, либо перезагрузиться\r\nи заплатить чек)\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 1 of 14\n\n3)Я беру 20% от вашей прибыли - вмз или либерти. то есть чеки вы налите Сами. и уже сами переводите\r\nмне мой процент.\r\n4) Качественно промо которое постояно изменяется - смотрим конверты и выбираем наиболее\r\nоптимальное. страны : IR CH ES AT BE FR GB PL DE DK PT \r\nформат промо html и USA - основной упор сделан на ней как раз\r\nвообще интересует 3-5 человек с котрыми на постоянке буду работать. продукт может быть изменен по\r\nвашим советам и как угодно дописан.\r\nQuote:\r\nУстановка\r\n=========\r\nПри запуске выполняется установка по следующим направлениям:\r\n1) при достаточных правах (администратор для WinXP, Elevated Integrity Level / Admin для Win Vista+)\r\nосуществляется запись в параметр Shell раздела\r\n*****\r\nобеспечения автозапуска как в обычном, так и в безопасном режиме\r\n2) при недостаточных правах осуществляется запись в доступный раздел ***** \r\n3) в любом случае используется дополнительный автозапуск путем модификации настроек командного\r\nпроцессора (не требуется особых привилегий)\r\nВ результате при запуске командного процессора в ходе обычного процесса установки/удаления программ,\r\nосуществляется автозапуск\r\nРабота\r\n======\r\nПроверяется наличие файла конфигурации, который представляет из себя архив ZIP с локальной копией\r\nстраницы для отображения пользователю, в формате ***.\r\nПри отсутствии файла, выполняется его запрос из панели управления через технологии BITS и Wininet,\r\nчто позволяет выполнить обход некоторой части защитного ПО.\r\nПолученный файл распаковывается во временную папку, и выполняется запуск скрипта\r\nВ дефолтном примере использованы настройки скрипта, которые разворачивают страницу на весь экран,\r\nотключают прокрутку и т.п. При изготовлении специализированных\r\nпод страны страниц необходимо использовать аналогичные настройки\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 2 of 14\n\nПараллельно с запуском страницы с сообщением, выполняется циклическая смена цветового оформления\r\nОС (все элементы черные/красные), отключение визуальных и иных\r\nэффектов, а также сокрытие всех не относящихся к процессу страницы окон. В результате, даже при\r\nнедостаточных привилегиях, осуществляется существенное затруднение\r\nдоступа к элементам интерфейса. Настройки цветового оформления сохраняются лишь до момента выхода\r\nпользователя из ОС.\r\nВ формате страницы предполагается наличие поля для ввода кода . При их разработке необходимо иметь в\r\nвиду, что цветовые настройки ОС будут изменены\r\nи для видимости поля и текста необходимо принудительно определить цвет шрифта / фон поля ввода, а\r\nтакже не использовать стандартную кнопку отправки формы (вместо\r\nнее следует использовать изображение).\r\nСкрипт внутри страницы должен выполнить базовую проверку введенного кода (длина, цифры и т.п.) и\r\nпри положительной проверке - выполнить вывод его через\r\njavascript:alert(); Приложение перехватит появившееся окно, считает код и закроет его.\r\nПолученный код будет отправлен и сохранен на сервере. В случае успешной отправки страница будет\r\nзаменена на - в котором рекомендуется подготовить\r\nтекст о временном отключении блокировки и просьбе осуществить выход из системы / перезагрузку, если\r\nона не произойдет ближайшие 10 секунд.\r\nПо прошествии 10 секунд страница принудительно закрывается и инициируется процедура выхода\r\nпользователя из системы. При недостаточных привилегиях получится\r\nпросто пустой экран или экран с некоторыми окнами.\r\nВыход из системы и последующий вход необходимы для автоматического восстановления цветового\r\nоформления.\r\nПеред выходом устанавливается специальный флаг, который сигнализирует о необходимости отложения\r\nвизуальных эффектов блокировки доступа к ОС. При его наличии\r\nприложение в фоновом режиме осуществляет запросы к серверу с интервалом 15 минут для получения\r\nинформации о результате обработки оператором данных от клиента.\r\nОператор через админ интерфейс может дать команду на повторное отображение страницы при неверных\r\nданных, либо на самоудаление, если проверка данных прошла\r\nуспешно.\r\nвообще продукт готовился для себя.\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 3 of 14\n\n------------------------------------------\r\ntranslated by google as : (click to unfold)\r\nOur advantages:\r\n1) Net Win Api.\r\n2) Practical indestructibility locker, including a safe mode, and even if the boot from the startup disk.\r\nThat is the same locker from gangsta can cut off a ctrl + alt + delete)) on the level you can judge for yourself ...\r\nWhat is the meaning of that locker makes such changes in the system - even if the user somehow manage to kill\r\nthe process - he will have to reinstal Windows to do - because the system does not work properly, or reboot\r\nand pay check)\r\n3) I take 20% of your profits - wmz or liberty. that is, checks can nalite themselves. and already I translate my own\r\ninterest.\r\n4) Qualitatively promo is always changing - see the envelopes and select the most optimal. country: IR CH ES AT\r\nBE FR GB PL DE DK PT\r\nhtml format promotional and USA - the main focus is on her right\r\n3-5 people generally interested with KOTRA on postoyanke will work. product can be changed by your advice\r\nand somehow appended.\r\ncontact Jaber joker5139@jabbim.cz\r\nQuote:\r\nInstallation\r\n=========\r\nWhen you run you are installing in the following areas:\r\n1) with sufficient privileges (administrator for WinXP, Elevated Integrity Level / Admin for Win Vista +) writes to\r\nthe parameter section Shell\r\n*****\r\nensure autorun both in normal and safe mode\r\n2) the failure of the right of the recording available in section *****\r\n3) In any case, the additional auto settings by modifying the shell (no special privileges)\r\nAs a result, when you start a shell in the normal course of the installation / removal of software, by auto\r\nWork\r\n======\r\nChecks for a configuration file, which is a ZIP archive with a local copy of a page to display to the user in the\r\nformat. ***\r\nIn the absence of a file, it runs a query from the control panel through the BITS technology and Wininet, that\r\nallows you to bypass some of the security software.\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 4 of 14\n\nThe resulting file is extracted to a temporary folder, and you are running a shell script\r\nExample used in the default configuration script that deflect the page on the screen, turn off scrolling, etc. In the\r\nmanufacture of specialized\r\nunder the country pages to use the same settings\r\nIn parallel with the launch of the page message, the cyclic change colors of the OS (all the black / red), disabling\r\nvisual and other\r\neffects, and the secrecy of the process of non-page windows. As a result, even with insufficient privileges, is a\r\nsignificant difficulty\r\naccess to user interface elements. Setting color schemes remain only until the user logs out of the OS.\r\nIn the format of the page assumes a field to enter the code. In their development must be borne in mind that the\r\ncolor settings of the OS will be changed\r\nand visibility of the field and the text you want to force to identify the font color / background input field, and do\r\nnot use the standard submit button (instead of\r\nShe should use the image.)\r\nScript within the page should perform basic validation code entered (length, numbers, etc.) and with a positive test\r\n- run its output through\r\njavascript: alert (); application intercepts the window that appears, according to the code and close it.\r\nThe resulting code will be sent to and stored on the server. If successful, the page is submitted will be replaced -\r\nwhich is recommended to prepare\r\ntext to temporarily disable blocking and request to implement logout / reboot, if it does not happen the next 10\r\nseconds.\r\nAfter 10 seconds Page forcibly closed and the procedure is initiated logout. If there is insufficient privileges will\r\njust a blank screen or a screen with several windows.\r\nThe output from the system and the subsequent input required for the auto recovery color choices.\r\nBefore the release are indicated by a flag that indicates if a pending visual effects to block access to the OS. If\r\navailable\r\napplication in the background, makes a request to the server every 15 minutes to provide information about the\r\nresult of processing the data from the client.\r\nOperator through the admin interface can give the command to re-display the page with incorrect data, either on\r\nsamoudalenie if the test data was successfull.\r\nall products are ready for you.\r\n------------------------------------------\r\nWhat make Lyposit different from others :\r\n- it seems to be the first one to target Denmark,\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 5 of 14\n\nLyposit DK (09-2012)\r\n - it was targeting Irish (IE) people with a poor Iranian (IR) design\r\n - it was showing images (gathered from the browser cache?) at the bottom of the screen\r\n - the design downloaded from the C\u0026C was conditioned by the Regionals Settings of the infected computer\r\n - the Background was blinking from Black to Red\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 6 of 14\n\nLyposit Design in September 2012\r\n (The sample I used to gather design was catched by Malekal and spotted as a new Ransomware by S!ri )\r\nNow we should talk about Ransom Casier but I think you'll get seriously bored so let's move on.\r\n1 week ago :\r\nText:\r\n------------------------------------------\r\nна днях тестил траф:\r\nUSA 2970 ботов\r\n12300$ - монейпака\r\nнаберу новых адвертов\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 7 of 14\n\n3-5 человек.\r\nОсновное направление ЮСА\r\nОт вас:\r\nот 5к юса ботов в сутки,\r\nскрин статы сплоита на фоне вашей жабы в ПМ. я стукну к вам в джабер.\r\nвозможна установка софта полнолстью на ваш сервер. то есть никакого шейва в принципе быть не может.\r\n------------------------------------------\r\ntranslated by google as \r\n------------------------------------------\r\nrecently testil cores:\r\nUSA 2970 bots\r\n$ 12,300 - moneypaka\r\ngathering a new adverts\r\n3-5 people.\r\nThe main direction of JSA\r\nFrom you:\r\nYusa bots from 5k a day\r\nscreen sploita stats against your toad in the PM. I knock to you Jaber.\r\npolnolstyu optional software on your server. that is, no sheyva in principle can not be.\r\n------------------------------------------\r\n3 days after ...here is it, pushed by ProPack :\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 8 of 14\n\nProPack pushing Lyposit with a New Design\r\nNamed few hours Adneukine by Microsoft and then renamed to Lyposit.B here are the design \r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 9 of 14\n\nLyposit.B design in November 2012.\r\n2 new design (US, UK), reuse of Epubb design for FR, PT and DE...and it's still showing\r\nan iranian Flag to people living in Ireland\r\nPanel Title -  v0.2...\r\nthey plan a big future it seems.\r\nNot that much to see inside :\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 10 of 14\n\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 11 of 14\n\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 12 of 14\n\nLuckyLocker Control Panel v0.2\r\nLyposit.A\r\n e2569d952c0c48976c20758fd13e6155 12/09/12\r\n da9e23912e82eaa865527cdaebef49e5 10/09/12\r\n c3ae37d3e970e6b7aee99b1c144ca6fc 14/09/12\r\nLyposit.B :\r\n e2569d952c0c48976c20758fd13e6155 26/11/12\r\n 6d4dd63d0290b83c1f8cbd40b368b349 27/11/12\r\n c33987e0a9043f33dae133d2586b0253 27/11/12\r\nSome C\u0026C Call :\r\nLyposit.A:\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 13 of 14\n\nwindowsonlypositives .org GET /ad/?eaisx=Somebase64encodedData 91.218.231.196 -  12/09/12\r\n  orp-pro.org  GET /ad/?vzos=Somebase64encodedData 46.254.19.102 -- 14/09/12\r\nLyposit.B :\r\n neufbem9jefnike .com GET /ad/?ck=Somebase64encodedData  37.143.12.145 -- 26/11/12\r\n kiribati91 .org GET /ad/?sshe=Somebase64encodedData  37.143.12.145 -- 27/11/12\r\nSource: http://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nhttp://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html\r\nPage 14 of 14",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://malware.dontneedcoffee.com/2012/11/inside-view-of-lyposit-aka-for-its.html"
	],
	"report_names": [
		"inside-view-of-lyposit-aka-for-its.html"
	],
	"threat_actors": [
		{
			"id": "aa73cd6a-868c-4ae4-a5b2-7cb2c5ad1e9d",
			"created_at": "2022-10-25T16:07:24.139848Z",
			"updated_at": "2026-04-10T02:00:04.878798Z",
			"deleted_at": null,
			"main_name": "Safe",
			"aliases": [],
			"source_name": "ETDA:Safe",
			"tools": [
				"DebugView",
				"LZ77",
				"OpenDoc",
				"SafeDisk",
				"TypeConfig",
				"UPXShell",
				"UsbDoc",
				"UsbExe"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434549,
	"ts_updated_at": 1775791470,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/66bb8b5e617439e3af82783bcb71571980a8b31c.pdf",
		"text": "https://archive.orkl.eu/66bb8b5e617439e3af82783bcb71571980a8b31c.txt",
		"img": "https://archive.orkl.eu/66bb8b5e617439e3af82783bcb71571980a8b31c.jpg"
	}
}