![]() |
| featured in Urausy |
One of the most common Ransomware since end of 2012 is Urausy. You can land on it via every possible infection vector.
Despite it's widely spread, I couldn't find the advert for the distribution...but here are some news !
Look:
![]() |
BestAV update to a FakeAV program advert
2013-02-10
They were back with a new Software. |
Text of the Advert :
------------------------------------------
Уважаемые адверты, мы вернулись!
У нас обширные обновления системы:
1. подключили новые мерчанты и обновили Ав софт, сейчас отличный конверт на us \ ca \ gb и т.п. (за последнюю неделю, на us 1:30)
2. сделали модуль подмены выдачи, которая подключается по желанию адверта
3. добавили НОВЫЙ софт который отлично стучит и конвертируется на адалтовом траффе европы и US \ CA (всего около 25 стран, СНГ нет и не будет), софт монетизируется через чеки, выплаты по этому решению стабильно раз в неделю через Webmoney/Epese/LRпрофит за последнюю неделю по некоторым странам с 1к загрузок:
us 1189$de 956$gb 1154$fr 522$no 3376$nl 958$it 254$ch 1900$es 368$dk 860$at 818$
4. Наши долги - с прошлых мерчантов мы остались должны нескольким адвертам, естественно все задолжности будут погашены. Приоритет на выплату долгов отдаётся адвертам которые сейчас работают с нами------------------------------------------
------------------------------------------
Dear adverts, we're back!
Our package has undergone some major updates:
1. implemented support for some new merchants and updated AV software. Currently, getting great convert rate on US\CA\GB\ etc. (just last week, US at 1:30)
2. added a distribution replacement module that can be activate on request
3. included NEW add-on that improves callback. Using US\CA\EU adult traffic for conversion(supports 25 countries, NO CIS and no plans to support it in the future). Webmoney/Epese/LR services are used to monetize the traffic - weekly payments.
Last week earnings for some countries with 1K loads:
us 1189$
de 956$
gb 1154$
fr 522$
no 3376$
nl 958$
it 254$
ch 1900$
es 368$
dk 860$
at 818$
Our debts - we still owe to some adverts from previous merchants. We will pay off all the debts - priority will be given to adverts currently working with us.
------------------------------------------
Few days Later :
![]() |
| BestAV update. |
Text of the Advert :
------------------------------------------
Список принимаемых стран на soft2 пополнился следующими странами: BO|EC|UY|NZ, за последнюю неделю 1к UY на миксе давал до 2.5к$!Полный список принимаемых стран на софт2: AT|AU|BE|BO|CA|CH|CY|CZ|DE|DK|EC|ES|FI|FR|GB|GR|HR |HU|IE|IT|LU|LV|NL|NO|NZ|PL|PT|RO|SE|SI|SK|US|UY|T RКонверт на адалте (и не только!), просто потрясающий.Выплаты 2-3 раза в неделю, софт2 не зависит от биллингов, лучшие условия, Welcome------------------------------------------
------------------------------------------
The following countries are now supported by soft2: BO|EC|UY|NZ. Last week, 1K on UY earned close to $2.5k!
Full list soft2 supported countries: AT|AU|BE|BO|CA|CH|CY|CZ|DE|DK|EC|ES|FI|FR|GB|GR|HR |HU|IE|IT|LU|LV|NL|NO|NZ|PL|PT|RO|SE|SI|SK|US|UY|T R
Unbelievable convert on adult traffic (and other).
Payments - 2-3 time a week. No billing dependency for soft2. Best deal. Welcome
------------------------------------------
Now
and Edit1 : 2013-02-22 += BO, EC,MX, NZ & AR. Not far at all !
![]() |
| Update on 2013-05-17 |
What other software could target JO..MT...So specific that I could have figured the link without seeing behind the curtains
Cause yes ! Urausy is "Soft2" (out of 3) of BestAV/Regatur/Vendigo affiliate program.
They are far from being new comer in the business. (Look at the Read More area at the end -
Xylitol wrote extensively about them).
Here are at least 2 backend vector for the distribution of the Binaries :
http://test.bestavsoft2 .com -- 95.211.98.159 (pDNS : china-pro .biz - expresss .biz)
https://regatur .com -- 95.211.98.245 (pDNS : vendigo .biz - www.vendigo .biz )
2 reverse proxies of the same server. Same stuff with a vhost/CSS game.
![]() |
| BestAV Login Screen |
![]() |
| Regatur/Vendigo Login Screen |
![]() |
| BestAV2 Welcome Screen |
For Best AV you can see the 3 programs here :
![]() |
| The 3 programs for BestAV |
and here by Vendigo :
![]() |
Same Program by Vendigo/Regatur
(css game) |
What are the Soft :
Soft1
![]() |
| Soft1 = FakeAV (Winwebsec) |
Soft2 = Urausy
c&c Call : jzvpi .com 46.165.243.140
![]() |
| Soft2 = Urausy |
Soft3 = Didn't spend time on it. But would love some feedback if you know.
![]() |
| Soft3 = ? |
The news :
![]() |
| BestAV2 News |
And here is the associated text :
------------------------------------------
18:17 24.05.2013 CH upd
CH (Швейцария) снова можно пускать на софт2, все проблемы, связанные с этой страной решены, удачного конверта :)
13:29 24.05.2013Техработы upd
Техработы завершены, стата отображается нормально.
22:34 23.05.2013Техработы
В результате проведения технических работ может не верно отображаться статистика по инсталлам.
10:01 15.05.2013 Soft 2 - CH
Временные проблемы с обналом ваучеров из CH (Швейцария), по возможности просим снять инсталлы этой страны с софт2 и перевести на софт1. Спасибо за понимание.
16:13 14.05.2013 New countries upd
Список принимаемых стран на soft2 пополнился следующими странами: AE|BH|DZ|JO|KW|LB|MA|OM|PS|QA|SA|YE
11:56 30.04.2013Связка, update
Вторая связка в строю, те, кто ждал восстановления её работы, просьба отписать в тикеты или саппортам, за новыми потоками.
06:34 27.04.2013Связка
Обращаем внимание тех, кто пользуется одной из наших связок, которая сейчас в дауне. Скоро её работа будет восстановлена.
11:22 12.04.2013 +10%
Уважаемые адверты, у нас отличная новость, в результате отлаженной работы обналичивания чеков на софт2 профит с сейла увеличен на ~10%.
12:25 28.03.2013Софт1
Софт1 снова работает.
23:56 26.03.2013 Soft2 - MX
Исправили ошибку c MX, теперь она конвертится.
05:35 26.03.2013Софт1
Технические проблемы, просьба пока снять инсталлы с софт1, любой желающий может перейти на софт2, отписав в тикет саппортам. Софт2 работает без перебоев.
11:15 20.03.2013Отстук
Можно лить дальше :)
14:58 19.03.2013Отстук
Наблюдаются некоторые проблемы с отстуком у некоторых адвертов. Работаем над проблемой. Касается только soft2 и в основном только US инсталлов.
10:38 14.03.2013 New countries and Exp Kit
Список принимаемых стран на soft2 пополнился следующими странами: MT|MX Хорошего конверта! Так же начинаем снова выдавать потоки на связку, обращаемся к третьему саппорту(134828885) или пишем тикеты, в запросе потока сразу просим указывать требуемый софт.
06:46 11.03.2013Связка
Временно не выдаём связку, работаем над решением проблемы. О сроках, пока, сообщить нет возможности.
12:40 04.03.2013 Orange
Выдаем новые потоки(старые не актуальны), стучите третьему саппорту и говорите желаемый софт.
14:40 22.02.2013 New countries
Список принимаемых стран на soft2 пополнился следующими странами: BO|EC|UY|NZ Хорошего конверта!
00:22 16.02.2013Связка
Закончили подгон функционала, начинаем выдавать потоки, обращаться к третьему саппорту.
19:28 09.02.2013Новости | News
Уважаемые адверты, мы вернулись! У нас обширные обновления системы, для ознакомления с деталями, перейдите по ссылке этой новости.
17:19 02.02.2013 Coming Soon
20:50 11.12.2012Проблемы
Уважаемые адверты, сегодня наблюдаются технические проблемы с мерчантом. Планируем починить всё к завтрашнему дню. Мы будем держать вас в курсе событий.
20:39 28.11.2012 Exp Kit
195.88.74.110 Не забываем про предыдущую новость, старые потоки актуальны, кому требуются новые, обращаемся к третьему саппорту, либо же пишем тикет. Будем надеяться что больше не будет аналогичных простоев.
20:56 26.11.2012 Exp Kit
Скоро снова будем выдавать связку, IP будет в новостях позже. Еще раз напоминаем что связка не предназначена для спама и что такому простою мы обязаны тем, кто этот принцип нарушил. Если будут выявлены схожие нарушения далее, это плохо скажется на отношениях администрации BestAV и адвертов-вредителей.
13:28 02.11.2012 Exp
Снова ждем новый ип
20:34 28.10.2012 Exp kit
Пофиксили
------------------------------------------
------------------------------------------
18:17 24.05.2013 CH upd
CH (Switzerland) can again be run through soft2. All issues with this country are now resolved. Happy converts!
13:29 24.05.2013 Maintenance upd
Maintenance is now completed. Stats are displayed properly now.
22:34 23.05.2013 Maintenance
Due to current maintenance install stats may not display correctly.
10:01 15.05.2013 Soft 2 - CH
Temporary issue with vouchers cash-out from CH (Switzerland). Please move CH installs from soft2 to soft1 if possible. Thank you for understanding.
16:13 14.05.2013 New countries upd
soft2 now supports the following countries: AE|BH|DZ|JO|KW|LB|MA|OM|PS|QA|SA|YE
11:56 30.04.2013 Exp kit, update
Second Exp kit is now fixed. Please update your support tickets or contact support directly for EK details.
06:34 27.04.2013 Exp kit
We're expecting the broken EK to be online very soon. Stay tuned.
11:22 12.04.2013 +10%
Dear adverts! We have great news. Soft2 flawless work allowed us to increase your sale profit to 10%
12:25 28.03.2013 Soft1
Soft1 is now working again.
23:56 26.03.2013 Soft2 - MX
Error causing MX not to convert is now fixed.
05:35 26.03.2013 Soft1
Due to some technical issues we're asking to take installs off Soft1. Open a support ticket to be transferred to Soft2 in the mean while. Soft2 has no issues.
11:15 20.03.2013 Callback
Fixed :)
14:58 19.03.2013 Callback
Some adverts are reporting callback issues. We're looking into it. Affects Soft2 only and mainly US installations.
10:38 14.03.2013 New countries and Exp Kit
MT|MX have been added to Soft2. Have a good conversion day! Started giving access to EK again. Contact 3rd support(134828885) or open a support ticket to avail.
06:46 11.03.2013 Exp kit
Temporarily unavailable. Working on solving the issue. No ETA yet.
12:40 04.03.2013 Orange
Giving access to new EK(old ones are no longer true). Direct all queries to 3rd support.
14:40 22.02.2013 New countries
BO|EC|UY|NZ are now supported by Soft2. Have a good conversion day!
00:22 16.02.2013 Exp kit
Setup is finished. Started giving access out. Contact 3rd support.
19:28 09.02.2013 News
Dear adverts! We're back! We have made some major system updates. Please follow the link for more details.
17:19 02.02.2013 Coming Soon
20:50 11.12.2012 Problems
Dear adverts. Our merchant is experiencing some technical difficulties today. We're planning to fix this issue by tomorrow. We'll keep you updated.
20:39 28.11.2012 Exp Kit
195.88.74.110 please read the previous news post for term of use. Contact 3rd support for new access. Old access should still work. We hope on your cooperation not to experience the same issue again.
20:56 26.11.2012 Exp Kit
Access to EK will soon be available. New IP will be posted soon. Just a friendly reminder, EK is not supposed to be used for SPAM. The downtime we're experiencing now is due to someone breaking this rule. If similar activity will be detected BestAV administration will take actions against adverts responsible.
13:28 02.11.2012 Exp
Waiting for the new IP again
20:34 28.10.2012 Exp kit
Fixed
------------------------------------------
Am pretty sure (but not 100%) that the exploit kit mentioned here is what Emerging Threat Named Sibhost.
![]() |
Sibhost pushing Urausy using it's last known CVE : 2013-2423
on 2013-05-01 |
Sadly I didn't find another name :)
Its sharing the Reverse proxies infrastructure with Urausy C&C.
And here are the news for Vendigo :
![]() |
| Vendigo News |
And here is the associated text :
------------------------------------------
04:51 29.05.2013 soft2 статистика
сбой подкачки статы по софт2 с основного сервера. сам софт работает нормально. в ближайшее время пофиксим
23:46 27.05.2013Всё работает хорошо!
Welcome!
20:07 23.05.2013 Soft1 \ Soft2 \ Stats
Soft 1 \ soft 2 качаются нормально. В связи с организационными мероприятиями и переездами, статистика по инсталлам софт2 за сегодня будет сбиваться, и может прыгать в любую сторону. Со следующих суток, стата уже будет работать стабильно. Приносим извинения за неудобства.
15:43 23.05.2013Подкачивание soft1 \ soft2 временно не работает
в течении часа пофиксим
13:21 17.05.2013Запасной жаббер: zorton40031@jabber.ru
Welcome
19:57 12.05.2013Объявления
Запустили лендинги (ав сканер - софт1) для траффика - приглашаем адвертов! ---------- Предоставляем связку адвертам, которые льют более 50к траффика в сутки ---------- Выкупаем Андройд траффик \ инсталлы ---------- Приглашаем на постоянную работу крипт-программистов, зарплата от 2000$ в месяц
20:23 30.04.2013Просим снять DZ (Алжир) траффик (софт2)
subj
17:05 29.04.2013приглашаем протестировать наше промо
по всем вопросам обращайтесь в жаббер
22:22 26.04.2013статистику софт2 починили
subj
16:46 26.04.2013софт2 сбой статистики по инсталлам
сбой статистики по инсталлам, проверяем
15:43 21.04.2013Статистику починили
всё работает стабильно
05:17 21.04.2013Сбой подкачивания статистики за 21 число и за вечер 20 числа
Система работает, продажи идут, софт стучит. Статистика за вечер 20 числа и за 21 число будет подгружена и отображена в ближайшее время
11:43 19.04.2013Выплаты отправлены
Спасибо за работу и дальнейших успехов!
21:31 18.04.2013Прошу прощение за задержку выплат
Извиняюсь за задержку с выплатами, последние два дня был в разъездах + ужасный интернет, не позволяет нормально работать. Завтра (19.04), буду в нормальном рабочем режиме, в первой половине дня обработаю все тикеты на выплату.
18:45 08.04.2013Сбой в работе \ Починили
Был сбой в работе, последние 30 минут продажи не проходили, конверт ухудшился. Сейчас всё починили, конверт должен подровняться
09:28 28.03.2013Софт1 включили. Запускайте поток
Мерчанты включили, софт1 работает, можно включать поток!
20:14 27.03.2013софт1 запуска завтра
завтра (28 число), следите за новостями
03:52 27.03.2013софт3
Сделаны выплаты по софт3
17:47 25.03.2013Софт1, просим приостановить поток на 1-3 дня
Уважаемые адверты по причине не уверенности в стабильности текущего мерчанта - просим приостановить поток софт1, его можно перевести на софт2 (с софт2 всё стабильно). Через 1-3 дня можно будет запуститься т.к. вернутся предыдущие мерчанты, и возможно текущий мерчант тоже поставим в работу, как убедимся в их надёжности. Просим не волноваться все балансы будут выплачены по вашим запросам. Спасибо за понимание.
22:11 21.03.2013Всё работает стабильно
Всё работает
15:43 21.03.2013Софт1, подкачка статистики временно октлючена
Небольшой технический сбой, отключаем подкачивание статистики по софт1 примерно на час
18:13 19.03.2013Работа полностью восстановлена
Всё работает. В том числе, пейформа переведена на хороший канал.
17:40 19.03.2013Технический сбой
Был технический сбой, приводим всё в порядок. Оповестим как всё проверим
07:07 19.03.2013Новый мерчант в работе
Новый мерчант работает, но конверт пока хуже. Причины являются техническими и они известны: 1. платжная форма находится на слабом сервере. 2. процедура покупки для данного мерчента менее удобная чем для других. Касательно первого пункта - сегодня занимаемся переездом на более мощный сервер. По второму пункту, ведём переговоры с процессингом, для оптимизации. Старые мерчанты вернутся в работу к 1 апрелю. Будем держать вас в курсе.
17:52 18.03.2013Работа восстановлена на новом мерчанте
Работа восстановлена на новом мерчанте с визой и мастером, но мы можем запускать на него только софт, который начал раздаваться с 20:00 по МСК. В связи с этим будет провал конверта.
------------------------------------------
------------------------------------------
04:51 29.05.2013 soft2 Stats
Soft2 stats from main server transfer issue. Soft2 is working fine. Expecting to fix soon.
23:46 27.05.2013 Everything is working great!
Welcome!
20:07 23.05.2013 Soft1 \ Soft2 \ Stats
Soft1 \ Soft2 are working as expected. Due to server move, Soft2 install stats for today may not be correct. Tomorrow the stats will be fixed. Apologies for any inconvenience caused.
15:43 23.05.2013 soft1 \ soft2 temporarily unavailable
will be fixed within an hour
13:21 17.05.2013 Spare Jabber: zorton40031@jabber.ru
Welcome
19:57 12.05.2013 News
Traffic lending is launched(AV scanner - Soft1) - adverts are welcome! EK will be supplied to adverts with 50K traffic volume in a day
Android traffic and install are also available
We're hiring Cryptography Software Engineer - paying $2000 a month
20:23 30.04.2013 Please take off DZ (Algeria) traffic from (Soft2)
subj
17:05 29.04.2013 Inviting to test our promo
Contact through Jabber for any details
22:22 26.04.2013 Soft2 stats are now fixed
subj
16:46 26.04.2013 Soft2 stats issue
Soft2 stats are experiencing some issues. Checking.
15:43 21.04.2013 Stats are now fixed
All is working well
05:17 21.04.2013 Stats transfer for 20th and 21st issue
The system is working. Sales are going. Callback is stable. Stats for 20th and 21st will be transferred as soon as possible.
11:43 19.04.2013 Payments are sent
Thank you for your work. Wishing you all future success!
21:31 18.04.2013 Apologies for payment delays
My apologies for delaying payments. I have been traveling for the last 2 days and had no proper Internet access. Promise to process all payment tickets tomorrow.
18:45 08.04.2013 Service unavailable \ Fixed
We experienced some issues that affected payments and converts. All should be fixed now.
09:28 28.03.2013 Soft 1 is back online. Restart the streams
Merchants are back online. Soft1 is now working. Ok to restart the streams.
20:14 27.03.2013 Soft1 start tomorrow
tomorrow (28th), watch for updates
03:52 27.03.2013 Soft3
Soft2 payments have been processed
17:47 25.03.2013 Soft1. Please stop streaming for 1-3 days
Dear adverts, due to current merchant poor stability we ask you to stop steaming through Soft1. You can transfer to Soft2(Soft2 has no issues). We're expecting to fix the issue in the next 1-3 days after bringing the old merchant online and fixing the issue with current one. We're asking you to stay calm - we'll pay all the balances on your request. Thank you for understanding.
22:11 21.03.2013 Everything is back to normal
subj
15:43 21.03.2013 Soft1 stats update is currently unavailable
Minor issues. Soft1 stats updates will be unavailable for the next hour or so
18:13 19.03.2013 All back to normal
subj. Including transfer of the payform to a new link.
17:40 19.03.2013 Technical issues
Fixing some minor technical issues. We'll update you as soon as possible.
07:07 19.03.2013 New merchant is available
New merchant is in operation, but convert rate is poor. There is a number of reasons for that. 1. payform is on a low spec server. 2. payment procedure is more awkward in compare with other merchants. The first issue will be addressed today - we're moving payform on a different(better) server. The second issue is being addressed at the moment - talking to processing with view to improve optimization. Old merchants will be back online by 1st of April. We'll keep you updated.
17:52 18.03.2013 Operation is restored through a new merchant
The operations are restored through a new merchant using Visa and Mastercard, but limited to software issued after 20:00 MSK time. We're expecting convert drop.
------------------------------------------
![]() |
Agreement on Vendigo First logon
(no share of screenshots, links, softs etc...) |
Text of Vendigo Agreement
------------------------------------------
Уважаемые адверты, у нас запрещено: - публиковать (либо передавать другим людям) скриншоты админки, адрес админки или какие-либо ссылки на админку и сам софт.
------------------------------------------
Dear adverts, we banned: - publish (or send to others) screenshots admin, admin address or any links to admin panel and software itself.
------------------------------------------
![]() |
| Best AV Agreement |
Text for Best AV agreement :
------------------------------------------
Соглашения работы:
Уважаемый %username%, команда Best AV Software рада приветствовать Вас. Перед началом работы вам необходимо ознакомиться с условиями сотрудничества.
Порядок выплат:
рефанды и чарджбеки на балансе адверта;
выплаты происходят планово, несколько раз в месяц (как правило раз в неделю), по мере поступления средств с биллингов, при достижении минимальной суммы на вывод;
минимальная сумма на вывод 100$.
Что у нас запрещено:
любые попытки кардинга нашего софта;
распространять промо-материалы через сайты cp \ нацистской тематики;
распространять промо-материалы по странам СНГ;
проверять файлы на ав-чекерах, о которых заведомо известно, что они передают проверяемые файлы в АВ на анализ;
проводить реверсинг промо-материалов.
Закрытие аккаунта. При закрытии аккаунта, либо остановке потока на обеспечение будущих рефандов и чарджбеков холдится сумма в размере ~10% (справедливо и для активных аккаунтов, минимальный холд 50$) от баланса, без возобновления потока, выплата холда будет произведена в течении 45 дней с момента остановки продаж.
------------------------------------------
------------------------------------------
Work Agreement:
Dear %username%, Best AV team is glad to welcome you. Before you begin working, we'd like you to familiarize yourself with terms and conditions for our service.
Payments:
refunds and charge back are on adverts balance;
payments are performed regularly - a few times a month(usually, once a week). The amount of the minimum withdraw limit has to be available on your account for payment to proceed.
minimum withdrawal amount is 100$.
What is not allowed:
any carding attempts of our software;
promote our services through CP / Nazi websites;
promote our services in CIS;
submit our files to online AV checkers that are known to submit files to AV vendors;
perform reverse-engineering on promotional materials;
Account closure. We will hold 10% of the amount currently on your balance when you decide to close the account or stop the streaming guaranteeing future refunds and charge back. We believe it is fair even for the active accounts. Minimum held amount is $50. If the streaming is not restored within 45 days since the first sales stop the hold will be paid.
------------------------------------------
And if you wonder why it's so widespread....you'll have an idea with the stats of one "customer"
![]() |
Day by Day income for one Affiliate
with Urausy Program via Vendigo |
![]() |
| Income by country since January 2013 |
And out of topic, for the FakeAV (2012):
![]() |
Day by day income for Soft1 for 1 affiliate.
2012 sorted by income |
![]() |
2012 - Fake AV (soft1)
Income by Country for 1 affiliate - sorted by Income |
So this replied to many of my questions.
And to those saying "Ransomware is the new FakeAV" : Exact ! It seems even more profitable.
Correct me if i'm wrong but I think it's the first time in history so few people taunted so many law enforcement all over the world...from Oman to US, from Finland to Ecuador.
Dangerous business !
Read More :
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.gif)
