Ang Ryuk usa sa labing inila nga mga kapilian sa ransomware sa miaging pipila ka tuig. Sukad nga kini una nga nagpakita sa ting-init sa 2018, kini nakolekta
1. kinatibuk-ang impormasyon
Kini nga dokumento naglangkob sa usa ka pagtuki sa Ryuk ransomware nga variant, ingon man ang loader nga responsable sa pagkarga sa malware sa sistema.
Ang Ryuk ransomware unang nagpakita sa ting-init sa 2018. Usa sa mga kalainan tali sa Ryuk ug uban pang ransomware mao nga kini gitumong sa pag-atake sa mga corporate environment.
Sa tungatunga sa 2019, giatake sa mga cybercriminal nga grupo ang daghang mga kompanya sa Espanya nga gigamit kini nga ransomware.
bugas. 1: Kinutlo gikan sa El Confidencial bahin sa pag-atake sa Ryuk ransomware [1]
bugas. 2: Kinutlo gikan sa El PaΓs bahin sa usa ka pag-atake nga gihimo gamit ang Ryuk ransomware [2]
Karong tuiga, giatake ni Ryuk ang daghang mga kompanya sa lainlaing mga nasud. Sama sa imong makita sa mga numero sa ubos, ang Germany, China, Algeria ug India mao ang pinakalisud nga naigo.
Pinaagi sa pagtandi sa gidaghanon sa mga pag-atake sa cyber, atong makita nga ang Ryuk nakaapekto sa milyon-milyon nga mga tiggamit ug nakompromiso ang usa ka dako nga kantidad sa datos, nga miresulta sa grabe nga pagkawala sa ekonomiya.
bugas. 3: Ilustrasyon sa tibuok kalibutan nga kalihokan ni Ryuk.
bugas. 4: 16 nga mga nasud nga labing apektado sa Ryuk
bugas. 5: Gidaghanon sa mga tiggamit nga giatake sa Ryuk ransomware (sa minilyon)
Sumala sa naandan nga prinsipyo sa operasyon sa ingon nga mga hulga, kini nga ransomware, pagkahuman makompleto ang pag-encrypt, nagpakita sa biktima usa ka pahibalo sa lukat nga kinahanglan ibayad sa bitcoins sa gitakda nga adres aron mabalik ang pag-access sa mga naka-encrypt nga file.
Kini nga malware nausab sukad kini unang gipaila.
Ang variant sa kini nga hulga nga gisusi sa kini nga dokumento nadiskubrehan sa usa ka pagsulay sa pag-atake kaniadtong Enero 2020.
Tungod sa pagkakomplikado niini, kini nga malware kanunay nga gipasangil sa organisado nga cybercriminal nga mga grupo, nailhan usab nga mga grupo sa APT.
Ang bahin sa Ryuk code adunay usa ka mamatikdan nga kaamgiran sa code ug istruktura sa usa pa ka ilado nga ransomware, Hermes, diin gipaambit nila ang daghang parehas nga mga gimbuhaton. Mao kini ang hinungdan nga si Ryuk sa sinugdan nalambigit sa grupo sa North Korean nga si Lazarus, nga niadtong panahona gisuspetsahan nga anaa sa luyo sa Hermes ransomware.
Ang serbisyo sa CrowdStrike's Falcon X pagkahuman nakamatikod nga si Ryuk sa tinuud gimugna sa grupo nga WIZARD SPIDER [4].
Adunay pipila ka ebidensya nga nagsuporta niini nga pangagpas. Una, kini nga ransomware gi-anunsyo sa website exploit.in, nga usa ka ilado nga merkado sa malware sa Russia ug kaniadto nakig-uban sa pipila nga mga grupo sa APT sa Russia.
Kini nga kamatuoran nagpugong sa teorya nga si Ryuk mahimo unta nga gihimo sa Lazarus APT nga grupo, tungod kay dili kini haum sa paagi sa paglihok sa grupo.
Dugang pa, gi-anunsyo si Ryuk ingon usa ka ransomware nga dili molihok sa mga sistema sa Russia, Ukrainian ug Belarusian. Kini nga kinaiya gitino sa usa ka bahin nga makita sa pipila ka mga bersyon sa Ryuk, diin kini nagsusi sa pinulongan sa sistema diin ang ransomware nagdagan ug gipahunong kini sa pagdagan kon ang sistema adunay Russian, Ukrainian o Belarusian nga pinulongan. Sa katapusan, usa ka eksperto nga pagtuki sa makina nga gi-hack sa WIZARD SPIDER team nagpadayag sa daghang mga "artifact" nga giingong gigamit sa pagpalambo sa Ryuk isip usa ka variant sa Hermes ransomware.
Sa laing bahin, ang mga eksperto nga sila Gabriela Nicolao ug Luciano Martins misugyot nga ang ransomware mahimo nga naugmad sa APT nga grupo CryptoTech [5].
Nagsunod kini sa kamatuoran nga pipila ka bulan sa wala pa ang pagpakita ni Ryuk, kini nga grupo nag-post sa kasayuran sa forum sa parehas nga site nga nakahimo sila usa ka bag-ong bersyon sa Hermes ransomware.
Daghang mga tiggamit sa forum ang nangutana kung ang CryptoTech ba gyud ang naghimo sa Ryuk. Gidepensahan dayon sa grupo ang kaugalingon ug gipahayag nga adunay ebidensya nga naugmad nila ang 100% sa ransomware.
2. Mga Kinaiya
Nagsugod kami sa bootloader, kansang trabaho mao ang pag-ila sa sistema niini aron ang "husto" nga bersyon sa Ryuk ransomware mahimong ilunsad.
Ang bootloader hash mao ang mosunod:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Usa sa mga bahin sa kini nga downloader mao nga kini walay bisan unsa nga metadata, i.e. Ang mga tiglalang niini nga malware wala naglakip sa bisan unsa nga impormasyon niini.
Usahay sila naglakip sa sayop nga data sa paglimbong sa user sa paghunahuna nga sila nagpadagan sa usa ka lehitimong aplikasyon. Bisan pa, ingon sa atong makita sa ulahi, kung ang impeksyon wala mag-apil sa interaksyon sa tiggamit (sama sa kaso sa kini nga ransomware), nan ang mga tig-atake wala maghunahuna nga kinahanglan nga mogamit metadata.
bugas. 6: Sample nga Meta Data
Ang sample gihugpong sa 32-bit nga format aron kini makadagan sa 32-bit ug 64-bit nga mga sistema.
3. Penetration vector
Ang sample nga nag-download ug nagpadagan sa Ryuk misulod sa among sistema pinaagi sa usa ka hilit nga koneksyon, ug ang mga parameter sa pag-access nakuha pinaagi sa usa ka pasiuna nga pag-atake sa RDP.
bugas. 7: Rehistro sa Pag-atake
Ang tig-atake nakahimo sa pag-log in sa sistema sa layo. Pagkahuman niana, naghimo siya usa ka executable file nga adunay among sample.
Kini nga executable file gibabagan sa usa ka antivirus nga solusyon sa wala pa modagan.
bugas. 8: Pag-lock sa pattern
bugas. 9: Pag-lock sa pattern
Sa diha nga ang malisyosong file gibabagan, ang tig-atake misulay sa pag-download sa usa ka encrypted nga bersyon sa executable file, nga gibabagan usab.
bugas. 10: Set sa mga sample nga gisulayan pagdagan sa tig-atake
Sa katapusan, misulay siya sa pag-download sa laing malisyoso nga file pinaagi sa naka-encrypt nga console
PowerShell aron laktawan ang proteksyon sa antivirus. Apan gibabagan usab siya.
bugas. 11: Ang PowerShell nga adunay malisyosong sulod gibabagan
bugas. 12: Ang PowerShell nga adunay malisyosong sulod gibabagan
4. Loader
Kung kini gipatuman, nagsulat kini usa ka ReadMe file sa folder % temp%, nga kasagaran alang kang Ryuk. Kini nga file usa ka ransom note nga adunay email address sa protonmail domain, nga kasagaran sa kini nga pamilya sa malware: [protektado sa email]
bugas. 13: Gipangayo nga Lukat
Samtang nagdagan ang bootloader, imong makita nga naglansad kini daghang mga executable file nga adunay mga random nga ngalan. Gitipigan sila sa usa ka tinago nga folder KAHULOG, apan kung ang kapilian dili aktibo sa operating system "Ipakita ang tinago nga mga file ug folder", unya sila magpabilin nga tinago. Dugang pa, kini nga mga file 64-bit, dili sama sa parent file, nga 32-bit.
bugas. 14: Mga executable nga mga file nga gilunsad sa sample
Sama sa imong makita sa hulagway sa ibabaw, gilusad ni Ryuk ang icacls.exe, nga gamiton sa pag-usab sa tanang ACLs (Access control lists), sa ingon masiguro ang pag-access ug pagbag-o sa mga bandila.
Nakuha niini ang bug-os nga pag-access ubos sa tanan nga tiggamit sa tanan nga mga file sa aparato (/T) bisan unsa pa ang mga sayup (/C) ug wala magpakita bisan unsang mga mensahe (/Q).
bugas. 15: Mga parameter sa pagpatuman sa icacls.exe nga gilunsad sa sample
Mahinungdanon nga timan-an nga gisusi ni Ryuk kung unsang bersyon sa Windows ang imong gipadagan. Alang niini siya
naghimo sa usa ka bersyon check gamit GetVersionExW, diin kini nagsusi sa bili sa bandera lpVersionInformationnga nagpakita kon ang kasamtangan nga bersyon sa Windows mas bag-o kay sa Windows XP.
Depende kung nagdagan ka usa ka bersyon sa ulahi kaysa sa Windows XP, ang boot loader mosulat sa lokal nga folder sa gumagamit - sa kini nga kaso sa folder %Publiko%.
bugas. 17: Pagsusi sa bersyon sa operating system
Ang file nga gisulat kay Ryuk. Kini dayon nagpadagan niini, nga nagpasa sa kaugalingon nga adres ingon usa ka parameter.
bugas. 18: Ipatuman si Ryuk pinaagi sa ShellExecute
Ang unang butang nga gibuhat ni Ryuk mao ang pagdawat sa input parameters. Niining higayona adunay duha ka mga parameter sa pag-input (ang executable mismo ug ang adres sa dropper) nga gigamit aron makuha ang kaugalingon nga mga pagsubay.
bugas. 19: Paghimo og Proseso
Makita usab nimo nga sa higayon nga kini nagpadagan sa iyang mga executable, kini nagtangtang sa iyang kaugalingon, sa ingon wala magbilin ug pagsubay sa iyang kaugalingong presensya sa folder diin kini gipatuman.
bugas. 20: Pagtangtang sa usa ka file
5. RYUK
5.1 Presensya
Si Ryuk, sama sa ubang malware, naningkamot nga magpabilin sa sistema kutob sa mahimo. Sama sa gipakita sa ibabaw, usa ka paagi aron makab-ot kini nga katuyoan mao ang sekreto nga paghimo ug pagpadagan sa mga executable file. Aron mahimo kini, ang labing kasagaran nga praktis mao ang pagbag-o sa yawe sa rehistro CurrentVersionRun.
Sa kini nga kaso, imong makita nga alang niini nga katuyoan ang una nga file nga ilunsad VWjRF.exe
(Ang ngalan sa file random nga gihimo) paglansad cmd.exe.
bugas. 21: Pagpatuman sa VWjRF.exe
Dayon isulod ang sugo LUNGSOD Sa ngalan"svchos". Sa ingon, kung gusto nimo susihon ang mga yawe sa rehistro sa bisan unsang oras, dali nimo makalimtan kini nga pagbag-o, tungod sa pagkaparehas niini nga ngalan sa svchost. Salamat sa kini nga yawe, gisiguro ni Ryuk ang presensya niini sa sistema. Kung ang sistema wala nataptan pa, unya kung imong i-reboot ang sistema, ang executable mosulay pag-usab.
bugas. 22: Ang sample nagsiguro sa presensya sa registry key
Makita usab nato nga kining executable mohunong sa duha ka serbisyo:
"audioendpointbuilder", nga, ingon sa gisugyot sa ngalan niini, katumbas sa sistema sa audio,
bugas. 23: Sample mihunong sa sistema sa serbisyo sa audio
ΠΈ Samss, nga usa ka serbisyo sa pagdumala sa account. Ang paghunong niining duha ka serbisyo usa ka kinaiya ni Ryuk. Sa kini nga kaso, kung ang sistema konektado sa usa ka sistema sa SIEM, ang ransomware mosulay sa paghunong sa pagpadala
bugas. 24: Sample mihunong sa serbisyo sa Samss
5.2 Mga Pribilehiyo
Sa kinatibuk-an, si Ryuk nagsugod pinaagi sa paglihok sa ulahi sulod sa network o kini gilunsad sa laing malware sama sa
Sa wala pa, isip pasiuna sa proseso sa pagpatuman, atong makita nga iyang gipatuman ang proseso Ipersonate nga Kaugalingon, nga nagpasabot nga ang mga sulod sa seguridad sa access token ipasa ngadto sa sapa, diin kini makuha dayon gamit ang GetCurrentThread.
bugas. 25: Tawga ang ImpersonateSelf
Atong makita dayon nga kini mag-associate sa access token sa usa ka thread. Nakita usab namo nga ang usa sa mga bandera mao ang DesiredAccess, nga magamit aron makontrol ang pag-access nga maangkon sa thread. Sa kini nga kaso ang kantidad nga madawat sa edx kinahanglan nga TOKEN_ALL_ACESS o kung dili - TOKEN_WRITE.
bugas. 26: Paghimo og Flow Token
Unya gamiton niya SeDebugPrivilege ug motawag aron makakuha og mga permiso sa Debug sa thread, nga moresulta sa PROCESS_ALL_ACCESS, maka-access siya sa bisan unsang gikinahanglang proseso. Karon, tungod kay ang encryptor adunay usa ka andam nga sapa, ang nahabilin mao ang pagpadayon sa katapusan nga yugto.
bugas. 27: Pagtawag sa SeDebugPrivilege ug Privilege Escalation Function
Sa usa ka bahin, kami adunay LookupPrivilegeValueW, nga naghatag kanamo sa kinahanglan nga kasayuran bahin sa mga pribilehiyo nga gusto namon nga madugangan.
bugas. 28: Paghangyo og impormasyon bahin sa mga pribilehiyo para sa pag-uswag sa pribilehiyo
Sa laing bahin, naa mi AdjustTokenPribilehiyo, nga nagtugot kanato sa pagkuha sa gikinahanglan nga mga katungod sa atong sapa. Sa kini nga kaso, ang labing hinungdanon nga butang mao Bag-ong Estado, kansang bandera maghatag ug mga pribilehiyo.
bugas. 29: Pag-set up sa mga permiso para sa usa ka token
5.3 Pagpatuman
Sa kini nga seksyon, ipakita namon kung giunsa ang sample nagpahigayon sa proseso sa pagpatuman nga gihisgutan kaniadto sa kini nga taho.
Ang nag-unang tumong sa proseso sa pagpatuman, ingon man ang pag-uswag, mao ang pag-angkon og access sa mga kopya sa anino. Aron mahimo kini, kinahanglan niya nga magtrabaho sa usa ka hilo nga adunay mga katungod nga mas taas kaysa sa lokal nga tiggamit. Sa higayon nga kini makaangkon sa ingon nga taas nga mga katungod, kini magtangtang sa mga kopya ug maghimo og mga pagbag-o sa ubang mga proseso aron mahimo nga imposible nga makabalik sa usa ka naunang restore point sa operating system.
Sama sa kasagaran sa kini nga matang sa malware, gigamit kini CreateToolHelp32Snapshotmao nga nagkinahanglan kini og snapshot sa kasamtangang nagdagan nga mga proseso ug mosulay sa pag-access niadtong mga proseso gamit OpenProcess. Kung maka-access na kini sa proseso, magbukas usab kini usa ka timaan sa kasayuran niini aron makuha ang mga parameter sa proseso.
bugas. 30: Pagkuha sa mga proseso gikan sa kompyuter
Dayag natong makita kung giunsa pagkuha ang lista sa mga proseso nga nagdagan sa naandan nga 140002D9C gamit ang CreateToolhelp32Snapshot. Human makadawat niini, moagi siya sa lista, naningkamot sa pag-abli sa mga proseso sa tagsa-tagsa gamit ang OpenProcess hangtud nga molampos siya. Sa kini nga kaso, ang una nga proseso nga iyang naablihan mao ang "taskhost.exe".
bugas. 31: Dinamikong Pagpatuman sa Pamaagi aron Makakuha ug Proseso
Atong makita nga kini sa ulahi nagbasa sa proseso token impormasyon, mao nga kini nagtawag OpenProcessToken nga adunay parameter"20008"
bugas. 32: Basaha ang impormasyon sa token sa proseso
Gisusi usab niini nga dili ang proseso nga i-injected niini csrss.exe, explorer.exe, lsaas.exe o nga siya adunay usa ka hugpong sa mga katungod awtoridad sa NT.
bugas. 33: Wala iapil nga mga proseso
Mahimo namon nga makita kung giunsa kini una nga gihimo ang tseke gamit ang impormasyon sa token sa proseso 140002D9C aron mahibal-an kung ang account kansang mga katungod gigamit sa pagpatuman sa usa ka proseso usa ka account NT AUTHORITY.
bugas. 34: NT AUTHORITY check
Ug sa ulahi, sa gawas sa pamaagi, iyang gisusi nga dili kini csrss.exe, explorer.exe o lsaas.exe.
bugas. 35: NT AUTHORITY check
Kung nakuha na niya ang usa ka snapshot sa mga proseso, giablihan ang mga proseso, ug gipamatud-an nga walaβy usa niini ang wala iapil, andam na siya nga isulat aron mahinumduman ang mga proseso nga i-inject.
Aron mahimo kini, kini una nga nagreserba sa usa ka lugar sa memorya (VirtualAllocEx), nagsulat niini (Pagsulat saPanumdoman sa Proseso) ug naghimo ug thread (PaghimoRemoteThread). Aron magamit kini nga mga gimbuhaton, gigamit niini ang mga PID sa mga napili nga proseso, nga nakuha niini kaniadto PaghimoToolhelp32Snapshot.
bugas. 36: I-embed nga code
Dinhi mahimo naton nga dinamikong maobserbahan kung giunsa kini gigamit ang proseso nga PID aron tawagan ang function VirtualAllocEx.
bugas. 37: Tawga ang VirtualAllocEx
5.4 Pag-encrypt
Niini nga seksyon, atong tan-awon ang bahin sa pag-encrypt niini nga sample. Sa mosunod nga hulagway imong makita ang duha ka subroutine nga gitawag og "LoadLibrary_EncodeString"ug"Encode_Func", nga responsable sa paghimo sa pamaagi sa pag-encrypt.
bugas. 38: Mga pamaagi sa pag-encrypt
Sa sinugdanan atong makita kung giunsa kini pagkarga sa usa ka pisi nga sa ulahi gamiton sa pag-deobfuscate sa tanan nga gikinahanglan: mga import, DLL, mga sugo, mga file ug mga CSP.
bugas. 39: Deobfuscation nga sirkito
Ang mosunod nga numero nagpakita sa unang import nga gi-deobfuscate niini sa rehistro R4. LoadLibrary. Kini gamiton sa ulahi aron makarga ang gikinahanglan nga mga DLL. Makita usab nato ang laing linya sa rehistro nga R12, nga gigamit uban sa miaging linya sa paghimo sa deobfuscation.
bugas. 40: Dinamikong deobfuscation
Nagpadayon kini sa pag-download sa mga sugo nga kini modagan sa ulahi aron sa pag-disable sa mga backup, pagpasig-uli sa mga punto, ug luwas nga mga mode sa boot.
bugas. 41: Nagkarga sa mga sugo
Unya kini nag-load sa lokasyon diin kini maghulog sa 3 nga mga file: Windows.bat, run.sct ΠΈ pagsugod.bat.
bugas. 42: Mga Lokasyon sa File
Kini nga 3 nga mga file gigamit aron masusi ang mga pribilehiyo nga naa sa matag lokasyon. Kung wala ang gikinahanglan nga mga pribilehiyo, gihunong ni Ryuk ang pagpatay.
Nagpadayon kini sa pagkarga sa mga linya nga katumbas sa tulo ka mga file. Una, DECRYPT_INFORMATION.html, adunay impormasyon nga gikinahanglan aron mabawi ang mga file. Ikaduha, KAHULOG, naglangkob sa RSA public key.
bugas. 43: Linya DECRYPT INFORMATION.html
Ikatulo, UNIQUE_ID_DO_NO_REMOVE, naglangkob sa naka-encrypt nga yawe nga gamiton sa sunod nga rutina aron mahimo ang pag-encrypt.
bugas. 44: Linya UNIQUE ID AYAW TANGGAL
Sa katapusan, kini nag-download sa gikinahanglan nga mga librarya uban sa gikinahanglan nga mga import ug CSPs (Microsoft Enhanced RSA ΠΈ AES Cryptographic Provider).
bugas. 45: Nagkarga sa mga librarya
Human makompleto ang tanan nga deobfuscation, nagpadayon kini sa paghimo sa mga aksyon nga gikinahanglan alang sa pag-encrypt: pag-enumerate sa tanang lohikal nga mga drive, pagpatuman sa gikarga sa miaging rutina, pagpalig-on sa presensya sa sistema, paglabay sa RyukReadMe.html file, pag-encrypt, pag-enumerate sa tanang network drive , transisyon ngadto sa namatikdan nga mga himan ug ang ilang pag-encrypt.
Nagsugod ang tanan sa pagkarga"cmd.exe" ug RSA public key records.
bugas. 46: Pag-andam alang sa pag-encrypt
Unya makuha niini ang tanan nga mga lohikal nga pagmaneho gamit GetLogicalDrives ug gi-disable ang tanan nga mga backup, ibalik ang mga punto ug luwas nga mga mode sa boot.
bugas. 47: Pag-deactivate sa mga himan sa pagbawi
Pagkahuman niana, gipalig-on niini ang presensya niini sa sistema, ingon sa nakita namon sa ibabaw, ug gisulat ang una nga file RyukReadMe.html Π² TEMP.
bugas. 48: Pagpatik ug pahibalo sa lukat
Sa mosunod nga hulagway imong makita kung giunsa kini paghimo og file, pag-download sa sulod ug pagsulat niini:
bugas. 49: Pagkarga ug pagsulat sa sulod sa file
Aron makahimo sa parehas nga mga aksyon sa tanan nga mga aparato, gigamit niya
"icacls.exe", ingon sa among gipakita sa ibabaw.
bugas. 50: Paggamit sa icalcls.exe
Ug sa katapusan, nagsugod kini sa pag-encrypt sa mga file gawas sa "*.exe", "*.dll" nga mga file, mga file sa system ug uban pang mga lokasyon nga gitakda sa porma sa usa ka naka-encrypt nga puti nga listahan. Sa pagbuhat niini, kini naggamit imports: CryptoAcquireContextW (diin ang paggamit sa AES ug RSA gipiho), CryptDeriveKey, CryptGenKey, CryptoDestroyKey ug uban pa. Gisulayan usab niini nga mapalapdan ang pagkab-ot niini sa mga nadiskobrehan nga mga aparato sa network gamit ang WNetEnumResourceW ug dayon i-encrypt kini.
bugas. 51: Pag-encrypt sa mga file sa sistema
6. Import ug katugbang nga mga bandila
Sa ubos mao ang usa ka lamesa nga naglista sa labing may kalabutan nga mga import ug mga bandila nga gigamit sa sample:
7. IOC
mga pakisayran
- usersPublicrun.sct
- Pagsugod sa MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Usa ka teknikal nga taho sa Ryuk ransomware ang giipon sa mga eksperto gikan sa antivirus laboratory PandaLabs.
8. Mga sumpay
1. βEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.βhttps://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publikasyon sa 04/11/2019.
2. βUn virus de origen ruso ataca a importantes empresas espaΓ±olas.β https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "VB2019 nga papel: Shinigami's revenge: ang taas nga ikog sa Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Daghang Pag-ayam sa Dula kauban si Ryuk: Lain nga LucrativebTargeted Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Gipublikar sa 10/01/2019.
5. "VB2019 nga papel: Shinigami's revenge: ang taas nga ikog sa Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com