{
	"id": "6f2b8e67-4f35-4271-b4b2-7061a3e35f4b",
	"created_at": "2026-04-06T01:29:15.402493Z",
	"updated_at": "2026-04-10T03:20:04.825317Z",
	"deleted_at": null,
	"sha1_hash": "f13d964724333c2a279bb59c4c2bcaa954360889",
	"title": "Unveiling the Locker Bomba (aka Lucky Locker v0.6 aka Lyposit/Adneukine )",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1000401,
	"plain_text": "Unveiling the Locker Bomba (aka Lucky Locker v0.6 aka\r\nLyposit/Adneukine )\r\nArchived: 2026-04-06 01:07:30 UTC\r\n2013-05-21 - Affiliate\r\nOn the 10th of may was advertised on underground forum by bomba_service  a new Ransomware in Affiliate\r\nmode.\r\nLOCKER BomBa best service - максимальный заработок\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 1 of 15\n\nBomba Locker advert\r\nOriginal Text\r\n------------------------------------------\r\nLOCKER BomBa best service - максимальный заработок\r\nВ связи с унылой ситуацией на рынке локеров, мы предлагаем вам уникальное решение - BomBa локер,\r\nнаш проект направлен на совместный заработок в течении длительного времени, мы предлагаем активную\r\nпомощь адвертам и решение всяческих ситуаций, всегда открыты к диалогу - и новым направлениям!В\r\nпартнерку будут набраны 10-20 активных адвертов, после чего она перейдет в приватный режим. \r\n================================================== =========\r\nНекоторые технические данные:\r\n+++ методы обхода UAC от висты до W7, 0-day\r\n+++ метод загрузки локера из памяти(минуя диск), 0-day\r\n+++ динамическая подмена минипорт-драйвера жесткого диска\r\n+++ сокрытие/подмена данных на диске на уровне подмены секторов\r\n+++ инжект в процессы, также локер использует всевозможные методы закрепления в системе - от самых\r\nпростых до извращений, практически не удалим( даже в АВ отчетах - рекомендация - формат диска и\r\nпереустановка системы - понятно что не всех такое устроит, чем мы и воспользуемся)\r\n+++ защищенный проверенными алгоритмами протокол обмена бот-сервер (казалось бы локер - но ип\r\nпосле прогруза более 50к тестовых\r\nботов - остался 0/34)+ коды в панель отправляются не по стандартной схеме(комерческая тайна), идут до 7\r\nдней активно, бывали cлучаи даже после 20 суток бот вводил валидный код(после долгих попыток ввода\r\nневалида)\r\n+++ используется хитрая система установки локера - не тупой запуск сразу( таким образом ваши порно\r\nресурсы остануться чистыми бесконечно долго \r\n- Полезная штуки: Крутые лендинги многократно протестированные на трафике различных направлений, и\r\nпостоянное их измения - под новые тренды в этом направлении для максимальной прибыли.\r\n- Размер ехе(не сжатый): 70 Кб\r\n- Написан на: C++/ASM\r\n- Работает на след. OS: Вся линейка Windows начиная от Windows 98 и до Windows 7(локер был\r\nпротестирован на всевозможных вариациах ОС, от ограниченной до pro, включая x32 и x64 версии)\r\n- Отстук с трафа - 80%\r\n================================================== =========\r\nПоддерживаемые локером Страны:\r\nUS|DE|IR|CH|ES|AT|BE|FR|PL|DK|PT|CA|IT|NL|RO|SE|UK |TR|RO|LV ( 20 стран)\r\n================================================== =========\r\nАнтивирусы\r\nБыли установлены максмимальные версии(самые дорогие) антивирусов, скачаны и обовлены актуальные\r\nбазы, и выставлен самый высокий уровень безопаности, после чего был осуществлен запуск локера, была\r\nпроверена отправка кодов (ничего не блокируется)\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 2 of 15\n\nОбходы АВ:\r\nAVAST - OK\r\nMicrosoft - OK\r\nAvira - OK\r\nESET - ok\r\nSymantec - ok\r\nAVG - ok\r\nKaspersky - ok\r\nMcAfee - ok\r\nTrend Micro - ok\r\nPanda - ok\r\nОбходы Фаерволов\r\nкомодо - ок\r\nбитдеф - ок\r\nоутпост - ок\r\nнортон - ок\r\n================================================== =========\r\nЭто более 90% от всех тачек, как правило у большинства юзеров стоит какой либо АВ, и пробить его это\r\nеще полдела - необходимо чтобы локер нормально установился и смог отправить коды.BomBa локер\r\nсправляется с этим максимально эффективно. Учитывая все вышесказанное, без преувелечения могу\r\nсказать что BomBa локер лучшее решение доступное сейчас на рынке, кто не верит - можно устроить\r\nпоказательные тесты.\r\n================================================== =========\r\nРейтинги:\r\nдо 1к лоадов в сутки - ваши 60% от полученных чеков\r\nдо 3к лоадов в сутки - ваши 70% от полученных чеков\r\nдо 10к лоадов в сутки - ваши 80% от полученных чеков\r\nот 10к лоадов в сутки - ваши 90% от полученных чеков\r\n================================================== =========\r\nСупер возможности:\r\n1)В наличие множество старых аков бирж ( от 1 до 5 лет реги с историей покупок и продаж - все аки\r\nпереданы адалт мастерами либо были регнуты в те годы) это позволяет избежать ограничений наложенные\r\nна новые акаунты + техники слива и методы работы по каждой из бирж(как что палит где и тп) - эту\r\nвозможность надо спрашивать у сапорта - он передаст запрос админу(имеет смысл подавать заявку если у\r\nвас есть большой опыт работы и не надо особо ничему обучать - только грамотно направить) все условия\r\nобговриваются при личном общении.\r\n2) Возможно выдача системы по скрытию трафика от любой адалт биржи(все через наш сервер), можно\r\nсливать даже с трафикхолдера хоть и коверт оттуда никакой.все сугубо индивидуально - обговаривается\r\nчерез админа сервиса - контакт брать у сапорта.\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 3 of 15\n\n3) Выдаем связку - не всем, а только трудолюбивым адвертам.( кол-во трафа и ваше адекватность - главные\r\nфакторы)\r\nКонтакты сапорта - 10439@jabber.root.cz 10439@thesecure.biz.\r\nhttp://bomba .asia\r\n------------------------------------------\r\nTranslated by @Malwageddon (Thanks !!) :\r\n------------------------------------------\r\nLOCKER BomBa: Best service - maximum earnings\r\nDue to Lockers market being dull at the moment, we are glad to present you - Bomba Locker. Our goal i\r\n================================================== =========\r\nSome of the key features:\r\n+++ UAC bypass - works on Vista through to Windows 7, 0-day\r\n+++ loading the locker from the memory(not using the disk), 0-day\r\n+++ dynamic HDD miniport driver replacement\r\n+++ HDD sector level data hiding/replacent\r\n+++ process injection, the locker is using variety of method to attach itself to the system - from si\r\n+++ bot-server communications are protected/encrypted(test IP hasn't been blacklisted even after test\r\n+++ using tricky locker deployment method - not just simply starting it up immediately(in this way yo\r\n- Useful features: Amazing lendings stress tested with different type of traffic. Constant upgrades t\r\n- EXE file size (not compressed): 70 Kb\r\n- Written in: C++/ASM\r\n- Works on the following OS': All Windows starting from 98 to Windows 7(the locker was tested on all\r\n- Callback - 80%\r\n================================================== =========\r\nCountries supported by the locker:\r\nUS|DE|IR|CH|ES|AT|BE|FR|PL|DK|PT|CA|IT|NL|RO|SE|UK |TR|RO|LV ( 20 in total)\r\n================================================== =========\r\nAntiVirus products\r\nTested with the latest versions of AntiVirus software - all patched and updated. The locker was launc\r\nAV evasion:\r\nAVAST - OK\r\nMicrosoft - OK\r\nAvira - OK\r\nESET - ok\r\nSymantec - ok\r\nAVG - ok\r\nKaspersky - ok\r\nMcAfee - ok\r\nTrend Micro - ok\r\nPanda - ok\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 4 of 15\n\nFirewall evasion:\r\nComodo - ок\r\nBitDefender - ок\r\nOutpost - ок\r\nNorton - ок\r\n================================================== =========\r\nIn more than 90% of the cases, users have some AV software installed and to evade it is only half of\r\n================================================== =========\r\nRates:\r\nupto 1K loads in a day - you get 60% from the earnings\r\nupto 3K loads in a day - you get 70% from the earnings\r\nupto 10K loads in a day - you get 80% from the earnings\r\nfrom 10K loads in a day - you get 90% from the earnings\r\n================================================== =========\r\nSuper features:\r\n1)We have many old stock accounts (from 1 to 5 years registration and trade history - all accounts ha\r\n2)We can provide adult traffic hiding systems(through our server only). We can pull traffic from traf\r\n3) We can supply EK - available for most productive adverts only(traffic volumes and being adequate -\r\nSupport - 10439@jabber.root.cz 10439@thesecure.biz.\r\nhttp://bomba .asia\r\n------------------------------------------\r\nAs you can see there is also a web site associated\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 5 of 15\n\nWebsite promoting Locker Bomba \r\nIt took few hours to spot something new and that could be related.\r\nPushed in a rented blackhole :\r\n199.180.114.213 namesrootslist .net  - Landing : /building/aim-circuit-proposing.php\r\nI fond that sample : 31efd51e5c31ea38a30ebd9d005575be\r\nThe User-Agent and C\u0026C call were familliar :\r\nUser-Agent and C\u0026C Call Lyposit-ish\r\nSo I wait...wait (\u003e 10 min) till i got :\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 6 of 15\n\nGerman Design for Bomba Locker / Lyposit\r\n(which is the same as Nymaim based on Urausy...itself inspired by Reveton June 2012)\r\nHere are all other available looks like the German design except the US one.\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 7 of 15\n\nAll known Bomba Locker/Lyposit Design as of may 2013\r\nTR = US Design\r\nIR (read IE :D)  like BE, CH, PL and DK show Blank screen like that :\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 8 of 15\n\nIE (!=IR) CH, BE, PL DK design... sic\r\nThe US Design is like :\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 9 of 15\n\nBomba Locker/Lyposit US Design\r\nThis design has already been seen in Uremtoo (Urausy variant) in February\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 10 of 15\n\nand in Nymaim (but is a little more evolved there )\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 11 of 15\n\nNymaim US design\r\nOut of topic:\r\nI did not wrote about Nymaim for now but it's related to the /Home/ BHEK (which evolved to q.php BH EK which\r\nwas behind the LA Times infection and is getting traffic via Darkleech apache Module)\r\nThat C\u0026C is pushing junk instead of 404 the same way Lucky Locker C\u0026C was...\r\nTrash Data instead of 404\r\nAnd here is the piece of code behind that on previous version of Lyposit :\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 12 of 15\n\nC\u0026C Side code used to push trash\r\nAs the Advert for Lucky Locker is not available anymore it seems we had here a good candidate for this \"new\"\r\nlocker.\r\nAnd..tada! I've find a way to get a screenshot of the Admin Panel for Bomba Locker :\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 13 of 15\n\nBomba Locker Panel\r\n(same as Lucky Locker but v0.6)\r\nIP is not blurred -\u003e QED\r\nAnd as a conclusion for those wondering what is the 0day UAC bypass on Windows 7\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 14 of 15\n\n0day UAC Bypass :)\r\nFile : \r\nRead More :\r\nSource: http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nhttp://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html\r\nPage 15 of 15\n\n  http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html \nIE (!=IR) CH, BE, PL DK design... sic \nThe US Design is like :  \n   Page 9 of 15\n\n http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html  \nBomba Locker/Lyposit US Design  \nThis design has already been seen in Uremtoo (Urausy variant) in February\n  Page 10 of 15",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"http://malware.dontneedcoffee.com/2013/05/unveiling-locker-bomba-aka-lucky-locker.html"
	],
	"report_names": [
		"unveiling-locker-bomba-aka-lucky-locker.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775438955,
	"ts_updated_at": 1775791204,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/f13d964724333c2a279bb59c4c2bcaa954360889.pdf",
		"text": "https://archive.orkl.eu/f13d964724333c2a279bb59c4c2bcaa954360889.txt",
		"img": "https://archive.orkl.eu/f13d964724333c2a279bb59c4c2bcaa954360889.jpg"
	}
}