2012-08-18 - Evolution
Ransom.II - UGC payment for USA - Windows Genuine impersonation for DE
In USA it's a new payment system appearing in the Ransom field : Ultimage Game Card
![]() |
UGC logo used in Ransomware |
that has been introduced in 2 designs :
![]() |
Ransom.II - USA - Ultimate Game Card - 08-2012 |
![]() |
Ransom.II - USA - Ultimate Game Card - 08-2012 |
You can either pay for 50€ to "get" a new original license or 100€ for a Windows 8 (?!) upgrade.
![]() |
Ransom.II - DE Design appeared around 17/08/2012 |
Windows Genuine Advantage-Benachrichtigungen ist ein Bestandteil des Bemühens von Microsoft, Softwarepiraterie einzudämmen.
Diese Software hilft dabei, zu bestimmen, ob es sich bei der auf Ihrem Computer installierten
Windows Version um eine Originalversion oder Raubkopie handelt.
Leider konnte diese Prüfung nicht erfolgreich abgeschlossen werden, daher wurde der Zugriff auf
Ihren Computer temporär gesperrt.
Als Gründe hierfür gelten eine abgelaufene oder mehrfach verwendete Windows-Lizenz, sowie eine illegal erworbene Windows-Lizenz (Raubkopie).
Um den Zugang zu Ihrem PC und den darauf befindlichen Daten wieder zu erlangen, können Sie
über das Bezahlfeld eine neue Original-Lizenz erwerben.
Um eine Lizenz zu erhalten, erwerben Sie bitte einen Code eines unserer offiziellen Partner Paysafecard oder ukash und geben Sie diesen in das unten vorgesehene Fenster ein und
bestätigen Sie mit "OK".
Eine Lizenzierung erfolgt automatisch innerhalb der nächsten 12 Stunden, bitte lassen Sie Ihren Computer in dieser Zeit eingeschaltet, damit der Vorgang durchgeführt werden kann.
Falls Sie ein Upgrade auf Windows 8 wünschen, ist dies zu einem Einführungspreis von nur 100 € möglich.
Vielen Dank für das in Windows und Microsoft gesetze Vertrauen.
Google Translate of this text :
Windows Genuine Advantage Notifications is a part of the effort by Microsoft to curb software piracy.
This software helps you to determine whether it is installed on your computer
Windows version is genuine or pirated copy is.
Unfortunately, this test could not be completed successfully, so has access to
Your computer is locked temporarily.
The reasons for this are an expired or repeatedly used Windows license, and illegally obtained a Windows license (bootleg).
To gain access to your PC and the data on it is again, you can
purchase via pay to enter a new original license.
To obtain a license, please purchase a code of one of our official partners or Paysafecard ukash and enter it into the bottom window and provided
confirm with "OK".
A license is automatically within the next 12 hours, please leave your computer turned on at this time, so the procedure can be performed.
If you wish to upgrade to Windows 8, it is possible for an introductory price of only 100 €.
Thank you for the trust laws in Windows and Microsoft.
Note the request to wait 12 hours, in my opinion to use/wash the payment (As far as I know this one is not stealing Password or using computer to perform DDoS or other stuff, but with this version it will reboot your computer before being displayed.
It seems mainly deployed via Adfly Malvertising and through Sweet Orange exploit Kit.
For other countries the design has been slightly modified but nothing really new.
For all known landing page from Ransom.II take a look at botnets.fr/index.php/Ransom.II
For more information about Malverstising Campaign (FR) : See Malekal's site
For an inside view of this specific Affiliate see this Xylitol's blog post