Tá Ryuk ar cheann de na roghanna ransomware is cáiliúla le blianta beaga anuas. Ós rud é le feiceáil ar dtús i samhradh na bliana 2018, tá sé bailithe , go háirithe sa timpeallacht ghnó, arb é príomhsprioc a chuid ionsaithe.
1. Eolas ginearálta
Tá anailís sa doiciméad seo ar an malairt ransomware Ryuk, chomh maith leis an lódóir atá freagrach as an malware a luchtú isteach sa chóras.
Tháinig an ransomware Ryuk le feiceáil den chéad uair i samhradh 2018. Ceann de na difríochtaí idir Ryuk agus ransomware eile ná go bhfuil sé dírithe ar thimpeallachtaí corparáideacha a ionsaí.
I lár 2019, rinne grúpaí cibearchoireachta ionsaí ar líon mór cuideachtaí Spáinneacha ag baint úsáide as an ransomware seo.
Rís. 1: Sliocht as El Confidencial maidir leis an ionsaí ransomware Ryuk [1]
Rís. 2: Sliocht as El País faoi ionsaí a rinneadh ag baint úsáide as an Ryuk ransomware [2]
I mbliana, rinne Ryuk ionsaí ar líon mór cuideachtaí i dtíortha éagsúla. Mar a fheiceann tú sna figiúirí thíos, ba iad an Ghearmáin, an tSín, an Ailgéir agus an India na cinn is deacra.
Trí líon na gcibear-ionsaithe a chur i gcomparáid, is féidir linn a fheiceáil go bhfuil tionchar ag Ryuk ar na milliúin úsáideoirí agus go ndearna sé méid ollmhór sonraí i gcontúirt, rud a d'eascair caillteanas eacnamaíoch mór.
Rís. 3: Léiriú ar ghníomhaíocht domhanda Ryuk.
Rís. 4: 16 tír is mó tionchar ag Ryuk
Rís. 5: Líon na n-úsáideoirí ar ionsaigh Ryuk ransomware (sna milliúin)
De réir an phrionsabail oibriúcháin is gnách ar bhagairtí den sórt sin, taispeánann an ransomware seo, tar éis an criptithe a bheith críochnaithe, fógra fuascailte don íospartach a chaithfear a íoc i bitcoins chuig an seoladh sonraithe chun rochtain ar na comhaid criptithe a athbhunú.
Tá an malware seo athraithe ó tugadh isteach ar dtús é.
Thángthas ar mhalairt na bagairte a ndéantar anailís air sa doiciméad seo le linn iarracht ionsaithe i mí Eanáir 2020.
Mar gheall ar a chastacht, is minic a chuirtear an malware seo i leith grúpaí cibearchoireachta eagraithe, ar a dtugtar grúpaí APT freisin.
Tá cosúlacht shuntasach ag cuid de chód Ryuk le cód agus le struchtúr earraí ransom cáiliúla eile, Hermes, a roinneann siad roinnt feidhmeanna comhionanna. Sin é an fáth go raibh Ryuk nasctha ar dtús leis an ngrúpa Cóiré Thuaidh Lazarus, a bhí in amhras ag an am go raibh siad taobh thiar den Hermes ransomware.
Thug seirbhís CrowdStrike's Falcon X faoi deara ina dhiaidh sin gur chruthaigh an grúpa WIZARD Spider Ryuk i ndáiríre [4].
Tá roinnt fianaise ann chun tacú leis an mbonn tuisceana seo. Ar an gcéad dul síos, fógraíodh an earraí ransom seo ar an suíomh Gréasáin exploit.in, a bhfuil clú agus cáil ar mhargadh malware na Rúise agus a raibh baint aige le roinnt grúpaí APT na Rúise roimhe seo.
Rialaíonn an bhfíric seo amach an teoiric go bhféadfadh Ryuk a bheith forbartha ag an ngrúpa Lazarus APT, mar gheall ar ní luíonn sé leis an mbealach a oibríonn an grúpa.
Ina theannta sin, fógraíodh Ryuk mar earraí ransom nach n-oibreoidh ar chórais na Rúise, na hÚcráine agus na Bealarúise. Cinntear an t-iompar seo ag gné a fhaightear i roinnt leaganacha de Ryuk, áit a seiceálann sé teanga an chórais ar a bhfuil an earraí ransom ag rith agus a stopann sé ó rith má tá Rúisis, Úcráinis nó Bealarúisis ag an gcóras. Ar deireadh, léirigh anailís shaineolach ar an meaisín a bhí hacked ag foireann WIZARD SPIDER roinnt “déantán” a líomhnaítear a úsáideadh i bhforbairt Ryuk mar mhalairt ar earraí ransom Hermes.
Ar an láimh eile, mhol na saineolaithe Gabriela Nicolao agus Luciano Martins go bhféadfadh an ransomware a bheith forbartha ag an ngrúpa APT CryptoTech [5].
Tagann sé seo as an bhfíric go bhfuil roinnt míonna roimh chuma Ryuk, chuir an grúpa seo faisnéis ar fhóram an láithreáin chéanna go raibh leagan nua den Hermes ransomware forbartha acu.
Cheistigh roinnt úsáideoirí fóraim cibé acu an chruthaigh CryptoTech Ryuk i ndáiríre. Chosain an grúpa iad féin ansin agus dúirt go raibh fianaise acu go raibh 100% den earraí fuascailte forbartha acu.
2. Tréithe
Tosaímid leis an lódóir tosaithe, a bhfuil sé mar chúram air an córas a bhfuil sé air a aithint ionas gur féidir an leagan “ceart” den Ryuk ransomware a sheoladh.
Seo a leanas hash an bootloader:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ceann de ghnéithe an íoslódálaí seo ná nach bhfuil aon meiteashonraí ann, i.e. Níor chuir cruthaitheoirí an malware seo aon fhaisnéis san áireamh ann.
Uaireanta cuireann siad sonraí earráideacha san áireamh chun an t-úsáideoir a mhealladh chun smaoineamh go bhfuil feidhmchlár dlisteanach á rith acu. Mar sin féin, mar a fheicfimid níos déanaí, mura mbíonn idirghníomhú úsáideora i gceist leis an ionfhabhtú (mar atá amhlaidh leis an ransomware seo), ní mheasann ionsaitheoirí gur gá meiteashonraí a úsáid.
Rís. 6: Sonraí Meta Samplach
Tiomsaíodh an sampla i bhformáid 32-giotán ionas gur féidir é a rith ar chórais 32-giotán agus 64-giotán araon.
3. Treá veicteoir
Chuir an sampla a íoslódálann agus a ritheann Ryuk isteach ar ár gcóras trí nasc cianda, agus fuarthas na paraiméadair rochtana trí réamhionsaí RDP.
Rís. 7: Clár Ionsaí
D'éirigh leis an ionsaitheoir logáil isteach sa chóras go cianda. Tar éis sin, chruthaigh sé comhad inrite lenár sampla.
Chuir réiteach frithvíreas bac ar an gcomhad inrite seo sular rith sé.
Rís. 8: Glas patrún
Rís. 9: Glas patrún
Nuair a cuireadh bac ar an gcomhad mailíseach, rinne an t-ionsaitheoir iarracht leagan criptithe den chomhad inrite a íoslódáil, a cuireadh bac air freisin.
Rís. 10: Sraith samplaí a rinne an t-ionsaitheoir iarracht a rith
Ar deireadh, rinne sé iarracht comhad mailíseach eile a íoslódáil tríd an consól criptithe
PowerShell chun cosaint frithvíreas a sheachbhóthar. Ach cuireadh bac air freisin.
Rís. 11: PowerShell le hábhar mailíseach bac
Rís. 12: PowerShell le hábhar mailíseach bac
4. Lódóir
Nuair a fheidhmíonn sé, scríobhann sé comhad ReadMe chuig an bhfillteán %% Teocht, atá tipiciúil do Ryuk. Nóta fuascailte é an comhad seo ina bhfuil seoladh ríomhphoist san fhearann protonmail, atá coitianta go leor sa teaghlach malware seo: msifelabem1981@protonmail.com
Rís. 13: Éileamh ar airgead fuascailte
Cé go bhfuil an bootloader ag rith, is féidir leat a fheiceáil go seolann sé roinnt comhaid inrite le hainmneacha randamach. Stóráiltear iad i bhfillteán i bhfolach PUBLIC, ach mura bhfuil an rogha gníomhach sa chóras oibriúcháin "Taispeáin comhaid fholaithe agus fillteáin", ansin fanfaidh siad i bhfolach. Ina theannta sin, tá na comhaid seo 64-giotán, murab ionann agus an comhad tuismitheora, atá 32-giotán.
Rís. 14: Comhaid inrite arna seoladh ag an sampla
Mar a fheiceann tú san íomhá thuas, seolann Ryuk icacls.exe, a úsáidfear chun gach ACL (liostaí rialaithe rochtana) a mhodhnú, rud a chinnteoidh rochtain agus modhnú bratacha.
Faigheann sé rochtain iomlán faoi gach úsáideoir ar gach comhad ar an ngléas (/T) beag beann ar earráidí (/C) agus gan aon teachtaireacht (/Q) a thaispeáint.
Rís. 15: Paraiméadair fhorghníomhú icacls.exe a sheol an sampla
Tá sé tábhachtach a thabhairt faoi deara go seiceálann Ryuk an leagan de Windows atá á rith agat. Chun seo a sé
dhéanann seiceáil leagan ag baint úsáide as GetVersionExW, ina seiceálann sé luach na brataí lpVersionInformationag cur in iúl an bhfuil an leagan reatha de Windows níos nuaí ná Windows XP.
Ag brath ar cibé an bhfuil leagan níos déanaí ná Windows XP á rith agat, scríobhfaidh an lódóir tosaithe chuig an bhfillteán úsáideora logánta - sa chás seo chuig an bhfillteán % poiblí.
Rís. 17: Leagan an chórais oibriúcháin a sheiceáil
Is é Ryuk an comhad atá á scríobh. Ritheann sé ansin é, ag dul thar a sheoladh féin mar pharaiméadar.
Rís. 18: Rith Ryuk trí ShellExecute
Is é an chéad rud a dhéanann Ryuk ná na paraiméadair ionchuir a fháil. An uair seo tá dhá pharaiméadair ionchuir (an inrite féin agus an seoladh dropper) a úsáidtear chun a rianta féin a bhaint.
Rís. 19: Próiseas a Chruthú
Is féidir leat a fheiceáil freisin, tar éis dó a chuid inrite a rith, go scriosann sé é féin, rud a fhágann nach bhfuil aon rian dá láithreacht féin san fhillteán inar cuireadh chun báis é.
Rís. 20: Comhad a scriosadh
5. RYUK
5.1 Láithreacht
Déanann Ryuk, cosúil le malware eile, iarracht fanacht ar an gcóras chomh fada agus is féidir. Mar a léirítear thuas, bealach amháin chun an sprioc seo a bhaint amach ná comhaid inrite a chruthú agus a rith go rúnda. Chun seo a dhéanamh, is é an cleachtas is coitianta ná an eochair chláraithe a athrú Leagan ReathaRun.
Sa chás seo, is féidir leat a fheiceáil gur chun na críche seo an chéad chomhad a sheoladh VWjRF.exe
(Gintear ainm comhaid go randamach) seoltaí cmd.exe.
Rís. 21: VWjRF.exe a fhorghníomhú
Ansin cuir isteach an t-ordú RUN Leis an ainm "svchos". Dá bhrí sin, más mian leat na heochracha clárlainne a sheiceáil am ar bith, is féidir leat an t-athrú seo a chailleann go héasca, mar gheall ar chosúlacht an ainm seo le svchost. A bhuíochas leis an eochair seo, cinntíonn Ryuk a láithreacht sa chóras. Mura bhfuil an córas fós ionfhabhtaithe , ansin nuair a atosaigh tú an córas, déanfaidh an inrite iarracht eile.
Rís. 22: Cinntíonn an sampla láithreacht san eochair chláraithe
Is féidir linn a fheiceáil freisin go stopann an inrite seo dhá sheirbhís:
"tógálaí críochphointe fuaime", a fhreagraíonn, mar a thugann a ainm, d'fhuaim an chórais,
Rís. 23: Stopann an sampla seirbhís fuaime an chórais
и sams, ar seirbhís bhainistíochta cuntais í. Is saintréith de chuid Ryuk é an dá sheirbhís seo a stopadh. Sa chás seo, má tá an córas ceangailte le córas SIEM, déanann an ransomware iarracht stop a sheoladh chuig aon rabhaidh. Ar an mbealach seo, cosnaíonn sé a chéad chéimeanna eile ós rud é nach mbeidh roinnt seirbhísí SAM in ann a gcuid oibre a thosú i gceart tar éis Ryuk a fhorghníomhú.
Rís. 24: Stopann an sampla seirbhís Samss
5.2 Pribhléidí
Go ginearálta, tosaíonn Ryuk ag bogadh go cliathánach laistigh den líonra nó seoltar malware eile ar nós nó , a aistríonn, i gcás formhéadaithe pribhléide, na cearta ardaithe seo chuig na hearraí ransom.
Roimh ré, mar réamhrá leis an bpróiseas cur chun feidhme, feicimid é i mbun an phróisis Déan pearsanú Féin, rud a chiallaíonn go gcuirfear inneachar slándála an chomhartha rochtana ar aghaidh chuig an sruth, áit a ndéanfar é a aisghabháil láithreach ag baint úsáide as GetCurrentThread.
Rís. 25: Glaoigh ar ImpersonateSelf
Feicimid ansin go nascfaidh sé comhartha rochtana le snáithe. Feicimid freisin go bhfuil ceann de na bratacha Rochtain Inmhianaithe, is féidir a úsáid chun an rochtain a bheidh ag an snáithe a rialú. Sa chás seo ba cheart go mbeadh an luach a gheobhaidh edx TOKEN_ALL_ACES nó eile - TOKEN_WRITE.
Rís. 26: Comhartha Sreafa a Chruthú
Ansin úsáidfidh sé SeDebugPrivilege agus déanfaidh sé glaoch chun ceadanna Debug a fháil ar an snáithe, agus mar thoradh air sin PROCESS_ALL_ACCESS, beidh sé in ann rochtain a fháil ar aon phróiseas riachtanach. Anois, ós rud é go bhfuil sruth ullmhaithe ag an criptitheoir cheana féin, níl le déanamh ach dul ar aghaidh go dtí an chéim dheireanach.
Rís. 27: Ag glaoch ar SeDebugPrivilege agus Feidhm Ardaithe Pribhléid
Ar thaobh amháin, tá LookupPrivilegeValueW againn, a thugann an fhaisnéis riachtanach dúinn faoi na pribhléidí a theastaíonn uainn a mhéadú.
Rís. 28: Iarr faisnéis faoi phribhléidí chun pribhléid a ardú
Ar an láimh eile, ní mór dúinn AdjustTokenPrivileges, a ligeann dúinn na cearta riachtanacha a fháil dár sruth. Sa chás seo, is é an rud is tábhachtaí Stát Nua, a dheonóidh a bhratach pribhléidí.
Rís. 29: Ceadanna a shocrú le haghaidh chomhartha
5.3 Cur i bhfeidhm
Sa chuid seo, taispeánfaimid conas a fheidhmíonn an sampla an próiseas forfheidhmithe a luadh cheana sa tuarascáil seo.
Is é príomhsprioc an phróisis cur chun feidhme, chomh maith le formhéadú, rochtain a fháil ar cóipeanna scáth. Chun seo a dhéanamh, ní mór dó oibriú le snáithe le cearta níos airde ná cearta an úsáideora áitiúil. Nuair a ghnóthóidh sé na cearta ardaithe sin, scriosfaidh sé cóipeanna agus déanfaidh sé athruithe ar phróisis eile ionas nach mbeidh sé dodhéanta filleadh ar phointe athchóirithe níos luaithe sa chóras oibriúcháin.
Mar is gnách leis an gcineál seo malware, úsáideann sé CreateToolHelp32Gléimmar sin tógann sé léargas ar na próisis atá ar siúl faoi láthair agus déanann sé iarracht rochtain a fháil ar na próisis sin trí úsáid a bhaint as Próiseas Oscailte. Nuair a fhaigheann sé rochtain ar an bpróiseas, osclaíonn sé comhartha lena chuid faisnéise chun paraiméadair an phróisis a fháil.
Rís. 30: Próisis a aisghabháil ó ríomhaire
Is féidir linn a fheiceáil go dinimiciúil conas a fhaigheann sé liosta na bpróiseas reatha i ngnáthamh 140002D9C ag baint úsáide as CreateToolhelp32Snapshot. Tar éis iad a fháil, téann sé tríd an liosta, ag iarraidh próisis a oscailt ceann ar cheann ag baint úsáide as OpenProcess go dtí go n-éireoidh sé. Sa chás seo, ba é an chéad phróiseas a bhí sé in ann a oscailt "taskhost.exe".
Rís. 31: Nós Imeachta a Fhorghníomhú go Dinimiciúla chun Próiseas a Fháil
Is féidir linn a fheiceáil go léann sé an fhaisnéis comharthaí próisis ina dhiaidh sin, mar sin deireann sé OpenProcessToken le paraiméadar"20008"
Rís. 32: Léigh faisnéis comharthaí próisis
Seiceálann sé freisin nach bhfuil an próiseas ina gcuirfear isteach é Csrss.exe-, taiscéalaí.exe, lsaas.exe nó go bhfuil sraith cearta aige Údarás NT.
Rís. 33: Próisis eisiata
Is féidir linn a fheiceáil go dinimiciúil conas a dhéanann sé an tseiceáil ar dtús ag baint úsáide as an eolas comhartha próisis i 140002D 9C d’fhonn a fháil amach an cuntas é an cuntas a bhfuil a chearta á n-úsáid chun próiseas a rith ÚDARÁS NT.
Rís. 34: seiceáil ÚDARÁS NT
Agus níos déanaí, lasmuigh den nós imeachta, seiceálann sé nach bhfuil sé seo csrss.exe, taiscéalaí.exe nó lsaas.exe.
Rís. 35: seiceáil ÚDARÁS NT
Nuair a bheidh sé tar éis léargas a fháil ar na próisis, na próisis a oscailt, agus a fhíorú nach bhfuil aon cheann acu eisiata, tá sé réidh chun na próisis a instealladh a scríobh chun cuimhne.
Chun seo a dhéanamh, coimeádann sé limistéar i gcuimhne ar dtús (VirtualAllocEx), scríobhann isteach ann (WriteProcessmemory) agus cruthaíonn sé snáithe (CreateRemoteThread). Chun oibriú leis na feidhmeanna seo, úsáideann sé PIDanna na bpróiseas roghnaithe, a fuair sé ag baint úsáide as roimhe seo CreateToolhelp32Gléim.
Rís. 36: Leabú cód
Anseo is féidir linn breathnú go dinimiciúil ar an gcaoi a n-úsáideann sé an próiseas PID chun an fheidhm a ghlaoch VirtualAllocEx.
Rís. 37: Glaoigh ar VirtualAllocEx
5.4 Criptiú
Sa chuid seo, féachfaimid ar an gcuid criptithe den sampla seo. Sa phictiúr seo a leanas feiceann tú dhá fho-ghnáthamh darb ainm "LoadLibrary_EncodeString"agus"Ionchódaigh_Func", atá freagrach as an nós imeachta criptithe a chomhlíonadh.
Rís. 38: Nósanna imeachta criptithe
Ag an tús is féidir linn a fheiceáil conas a luchtaíonn sé teaghrán a bheidh in úsáid níos déanaí chun deobfuscate gach rud atá ag teastáil: allmhairí, DLLs, orduithe, comhaid agus CSPs.
Rís. 39: Ciorcad díobfuscation
Léiríonn an figiúr seo a leanas an chéad iompórtáil a dhíscaoileann sé i gclár R4. LuchtaighLeabharlann. Úsáidfear é seo níos déanaí chun na DLLs riachtanacha a lódáil. Is féidir linn líne eile a fheiceáil freisin i gclár R12, a úsáidtear in éineacht leis an líne roimhe sin chun díobfuscation a dhéanamh.
Rís. 40: Díobfuscation dinimiciúil
Leanann sé ag íoslódáil orduithe a reáchtálfar níos déanaí chun cúltacaí a dhíchumasú, pointí a athbhunú, agus modhanna tosaithe sábháilte.
Rís. 41: Orduithe á lódáil
Ansin luchtaíonn sé an suíomh ina scaoilfidh sé 3 chomhad: Windows.bat, rith.sct и tús.bat.
Rís. 42: Suíomhanna Comhad
Úsáidtear na 3 chomhad seo chun na pribhléidí atá ag gach suíomh a sheiceáil. Mura bhfuil na pribhléidí riachtanacha ar fáil, stopann Ryuk é a fhorghníomhú.
Leanann sé ag luchtú na línte a fhreagraíonn do na trí chomhad. Ar dtús, DECRYPT_INFORMATION.html, Tá an fhaisnéis is gá chun comhaid a ghnóthú. Dara, PUBLIC, ina bhfuil eochair phoiblí an RSA.
Rís. 43: Líne DECRYPT INFORMATION.html
Sa tríú háit, UNIQUE_ID_DO_NOT_REMOVE, ina bhfuil an eochair chriptithe a úsáidfear sa chéad ghnáthamh eile chun an criptiú a dhéanamh.
Rís. 44: Líne Aitheantais Uathúil NÁ BAIN
Ar deireadh, íoslódálann sé na leabharlanna riachtanacha mar aon leis na hallmhairí agus na CSPanna riachtanacha (RSA feabhsaithe Microsoft и Soláthraí Cryptographic AES).
Rís. 45: Leabharlanna a lódáil
Tar éis gach deobfuscation a bheith críochnaithe, leanann sé ar aghaidh chun na gníomhartha a theastaíonn le haghaidh criptithe a dhéanamh: gach tiomántán loighciúil a ríomh, an méid a bhí luchtaithe sa ghnáthamh roimhe seo a fhorghníomhú, láithreacht sa chóras a neartú, an comhad RyukReadMe.html a chaitheamh, criptiú, ag áireamh gach tiomántán líonra. , aistriú chuig gléasanna braite agus a n-criptiúchán.
Tosaíonn sé ar fad le luchtú"cmd.exe" agus taifid eochracha poiblí an RSA.
Rís. 46: Ag ullmhú don chriptiú
Ansin faigheann sé gach tiomántán loighciúil ag baint úsáide as GetLogicalDrives agus díchumasaítear gach cúltaca, pointí athshlánaithe agus modhanna tosaithe sábháilte.
Rís. 47: Uirlisí athshlánaithe a dhíghníomhachtú
Tar éis sin, neartaíonn sé a láithreacht sa chóras, mar a chonaic muid thuas, agus scríobhann an chéad chomhad RyukReadMe.html в Teocht.
Rís. 48: Fógra fuascailte a fhoilsiú
Sa phictiúr seo a leanas is féidir leat a fheiceáil conas a chruthaíonn sé comhad, a íoslódáil an t-ábhar agus é a scríobh:
Rís. 49: Ábhar comhaid a lódáil agus a scríobh
Chun a bheith in ann na gníomhartha céanna a dhéanamh ar gach feiste, úsáideann sé
"icacls.exe", mar a léirigh muid thuas.
Rís. 50: Ag baint úsáide as icalcls.exe
Agus ar deireadh, tosaíonn sé ag criptiú comhaid ach amháin i gcás comhaid “*.exe”, “*.dll”, comhaid chórais agus láithreacha eile atá sonraithe i bhfoirm liosta bán criptithe. Chun seo a dhéanamh, úsáideann sé allmhairí: CryptAcquireContextW (i gcás ina sonraítear úsáid AES agus RSA), CryptDeriveKey, CryptGenKey, Eochair CryptoDestroy srl. Déanann sé iarracht freisin a raon a leathnú chuig gléasanna líonra aimsithe ag baint úsáide as WNetEnumResourceW agus ansin iad a chriptiú.
Rís. 51: Comhaid chórais a chriptiú
6. Allmhairí agus bratacha comhfhreagracha
Anseo thíos tá tábla ina liostaítear na hallmhairí agus na bratacha is ábhartha a úsáideann an sampla:
7. IOC
tagairtí
- úsáideoiríPublicrun.sct
- Tosaigh MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Chuir saineolaithe ón tsaotharlann frithvíreas PandaLabs tuarascáil theicniúil ar earraí ransom Ryuk le chéile.
8. Naisc
1. “Everis y Prisa Radio sufren un grave ciberataque que sequestra sus sus sustems.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Poiblí el 04/11/2019.
2. “An víreas atá ann ó bhunadh na Rúise agus an tábhacht a bhaineann leis an Spáinn.” https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Poiblí el 04/11/2019.
3. “Páipéar VB2019: Díoltas Shinigami: eireaball fada malware Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Poiblí el 11 /12/2019
4. “Seilg Cluiche Mór le Ryuk: Earraí Brabúis Eile a Spriocdhírítear.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Poiblí el 10/01/2019.
5. “Páipéar VB2019: Díoltas Shinigami: eireaball fada malware Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Foinse: will.com
