История Бурана (Buran, VegaLocker, )

7eventh · 11.12.2019

Вчера написал в теме локеру Буран об их лицемерстве, но видимо правда глаза режет, так что пост потерли. Ладно, создам значит тему. Скажу сразу что выгоды от этого никакой не имею, и в общем-то мне побоку было бы если бы мое соодщение не потерли. Итак:
buransupport написал:

Переименовывать локер и переписывать с одного языка на другой -- нецелесообразно и глупо.

На что я ответил, что мол вы ребята тоже молодцы, поменяли имя несколько раз и даже успели по РУ поработать, а сейчас такое пишете и как будто бы не при делах вообще.

Потом мой пост просто молча удалили. Так вот, для тех кто не знает, прошу ознакомиться с историей Бурана, так же известного как Vega, VegaLocker, Jamper (прошу заметить, что это никак не приват инфа, а гуглится на раз-два):

Vega, VegaLocker

id-ransomware.blogspot.com

Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

https://securingtomorrow.mcafee.com...buran-ransomware-the-evolution-of-vegalocker/

Despite the file marker used, based on the behavior, TTPs and artifacts in the system we could identify that Buran is an evolution of the Jumper ransomware. VegaLocker is the origin for this malware family.

И

Buhtrap backdoor and Buran ransomware distributed via major advertising platform

ESET researchers document how cybercriminals abused the online advertising network of Russia's leading search engine to distribute malware.

www.welivesecurity.com

Therefore, we have decided to change our original detection name for this ransomware to Win32/Filecoder.Buran

В общем, ребята несколько раз меняли название, работали по РУ, и сейчас из всех стран СНГ он не запускается только в трех (то есть по их мнению таджиков и киргизов можно смело локать)

Код:

0x7 -> RUSSIAN FEDERATION
0x177 -> BELARUS
0x17C -> UKRAINE

Я всего лишь прошу вас быть честными перед мемберами данного форума и не тереть посты только потому, что они вам не нравятся.

buransupport · 11.12.2019

По РУ мы не работали и не будем. Генеалогия объясняется тем, что за основу были взяты наработки, которые мы получили от автора и на их основе разработали новый продукт. Не переименовали, прошу заметить, а разработали на основе. Это совершенно разный софт (даже не имея технических знаний, достаточно сравнить записки, токена у нас никогда не было). Сейчас от первоначального кода не осталось ни строчки, переработанно все -- от инсталляции до шифрования. Как и многие, мы имеем историю, но, повторюсь, ни в прошлом, ни в настоящем, ни в будущем мы работать по РУ не намерены, более того, всем русскоговорящим мы готовы оказывать посильную помощь.

7eventh сказал(а):

по их мнению таджиков и киргизов можно смело локать

Проверка по локали (и проверка по языку системы) -- предварительная, мы проверяем страну по IP, при наличии доступа к Сети.

Triada · 25.12.2019

Там можно и на ваннакрай посмотреть, я проорал с первой версии ванны

История Бурана (Buran, VegaLocker, )

7eventh

RAID-массив

Vega, VegaLocker

Buhtrap backdoor and Buran ransomware distributed via major advertising platform

buransupport

floppy-диск

Triada

RAM