Ryuk hija waħda mill-aktar għażliet ta 'ransomware famużi fl-aħħar ftit snin. Minn meta dehret għall-ewwel darba fis-sajf tal-2018, inġabret , speċjalment fl-ambjent tan-negozju, li huwa l-mira ewlenija tal-attakki tiegħu.
1. Informazzjoni ġenerali
Dan id-dokument fih analiżi tal-varjant tar-ransomware Ryuk, kif ukoll il-loader responsabbli għat-tagħbija tal-malware fis-sistema.
Ir-ransomware Ryuk deher għall-ewwel darba fis-sajf tal-2018. Waħda mid-differenzi bejn Ryuk u ransomware ieħor hija li hija mmirata biex tattakka ambjenti korporattivi.
F'nofs l-2019, gruppi ċiberkriminali attakkaw numru kbir ta' kumpaniji Spanjoli li jużaw dan ir-ransomware.
Ross. 1: Silta minn El Confidencial dwar l-attakk tar-ransomware Ryuk [1]
Ross. 2: Silta minn El País dwar attakk li sar bl-użu tar-ransomware Ryuk [2]
Din is-sena, Ryuk attakka numru kbir ta 'kumpaniji f'diversi pajjiżi. Kif tistgħu taraw fiċ-ċifri hawn taħt, il-Ġermanja, iċ-Ċina, l-Alġerija u l-Indja kienu l-aktar milquta.
Billi nqabblu n-numru ta 'attakki ċibernetiċi, nistgħu naraw li Ryuk affettwa miljuni ta' utenti u kkomprometti ammont kbir ta 'dejta, li rriżulta f'telf ekonomiku serju.
Ross. 3: Illustrazzjoni tal-attività globali ta' Ryuk.
Ross. 4: 16-il pajjiż l-aktar affettwati minn Ryuk
Ross. 5: Numru ta' utenti attakkati minn Ryuk ransomware (f'miljuni)
Skont il-prinċipju operattiv tas-soltu ta 'theddid bħal dan, dan ir-ransomware, wara li l-kriptaġġ ikun komplut, juri lill-vittma notifika ta' fidwa li għandha titħallas f'bitcoins fl-indirizz speċifikat biex jerġa 'jġib l-aċċess għall-fajls encrypted.
Dan il-malware inbidel minn meta ġie introdott għall-ewwel darba.
Il-varjant ta’ din it-theddida analizzata f’dan id-dokument ġiet skoperta waqt attentat ta’ attakk f’Jannar 2020.
Minħabba l-kumplessità tiegħu, dan il-malware spiss jiġi attribwit lil gruppi ċiberkriminali organizzati, magħrufa wkoll bħala gruppi APT.
Parti mill-kodiċi Ryuk għandha xebh notevoli mal-kodiċi u l-istruttura ta 'ransomware ieħor magħruf, Hermes, li miegħu jaqsmu numru ta' funzjonijiet identiċi. Huwa għalhekk li Ryuk inizjalment kien marbut mal-grupp tal-Korea ta’ Fuq Lazarus, li dak iż-żmien kien suspettat li kien wara r-ransomware Hermes.
Is-servizz Falcon X ta' CrowdStrike sussegwentement innota li Ryuk fil-fatt inħoloq mill-grupp WIZARD SPIDER [4].
Hemm xi evidenza li tappoġġja din is-suppożizzjoni. L-ewwel, dan ir-ransomware ġie reklamat fuq il-websajt exploit.in, li huwa suq tal-malware Russu magħruf sew u li qabel kien assoċjat ma 'xi gruppi APT Russi.
Dan il-fatt jeskludi t-teorija li Ryuk seta' ġie żviluppat mill-grupp Lazarus APT, għaliex ma taqbilx mal-mod kif jopera l-grupp.
Barra minn hekk, Ryuk ġie rreklamat bħala ransomware li mhux se jaħdem fuq sistemi Russi, Ukrajni u Belarussi. Din l-imġieba hija determinata minn karatteristika li tinsab f'xi verżjonijiet ta' Ryuk, fejn tiċċekkja l-lingwa tas-sistema li fuqha qed jaħdem ir-ransomware u twaqqafha milli taħdem jekk is-sistema jkollha lingwa Russa, Ukrajna jew Belarussa. Fl-aħħarnett, analiżi esperta tal-magna li ġiet hacked mit-tim WIZARD SPIDER żvelat diversi "artifatti" li allegatament intużaw fl-iżvilupp ta 'Ryuk bħala varjant tar-ransomware Hermes.
Min-naħa l-oħra, l-esperti Gabriela Nicolao u Luciano Martins issuġġerew li r-ransomware seta’ ġie żviluppat mill-grupp APT CryptoTech [5].
Dan isegwi mill-fatt li diversi xhur qabel id-dehra ta' Ryuk, dan il-grupp poġġa informazzjoni fuq il-forum tal-istess sit li kienu żviluppaw verżjoni ġdida tar-ransomware Hermes.
Diversi utenti tal-forum staqsew jekk CryptoTech fil-fatt ħolqotx Ryuk. Il-grupp imbagħad iddefenda ruħu u ddikjara li kellu evidenza li żviluppaw 100% tar-ransomware.
2. Karatteristiċi
Nibdew bil-bootloader, li xogħolu huwa li jidentifika s-sistema li tinsab fuqha sabiex il-verżjoni "korretta" tar-ransomware Ryuk tkun tista 'tiġi mnedija.
Il-hash tal-bootloader huwa kif ġej:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Waħda mill-karatteristiċi ta’ dan it-tniżżil hija li ma fih l-ebda metadata, i.e. Il-ħallieqa ta' dan il-malware ma inkludew l-ebda informazzjoni fih.
Xi drabi jinkludu data żbaljata biex iqarraq lill-utent biex jaħseb li qed iħaddem applikazzjoni leġittima. Madankollu, kif se naraw aktar tard, jekk l-infezzjoni ma tinvolvix interazzjoni tal-utent (kif inhu l-każ ma 'dan ir-ransomware), allura l-attakkanti ma jqisux li huwa meħtieġ li jużaw metadata.
Ross. 6: Meta Data tal-Kampjun
Il-kampjun kien miġbur f'format ta '32-bit sabiex ikun jista' jaħdem kemm fuq sistemi ta '32-bit kif ukoll 64-bit.
3. Vettur tal-penetrazzjoni
Il-kampjun li jniżżel u jmexxi Ryuk daħal fis-sistema tagħna permezz ta 'konnessjoni remota, u l-parametri ta' aċċess inkisbu permezz ta 'attakk RDP preliminari.
Ross. 7: Reġistru tal-Attakk
L-attakkant irnexxielu jidħol fis-sistema mill-bogħod. Wara dan, ħoloq fajl eżekutibbli bil-kampjun tagħna.
Dan il-fajl eżekutibbli kien imblukkat minn soluzzjoni antivirus qabel ma jibda jaħdem.
Ross. 8: Lock tal-mudell
Ross. 9: Lock tal-mudell
Meta l-fajl malizzjuż ġie mblukkat, l-attakkant ipprova tniżżel verżjoni kriptata tal-fajl eżekutibbli, li kienet ukoll imblukkata.
Ross. 10: Sett ta 'kampjuni li l-attakkant ipprova jmexxi
Fl-aħħarnett, huwa pprova tniżżel fajl ieħor malizzjuż permezz tal-console encrypted
PowerShell biex tevita l-protezzjoni antivirus. Imma kien ukoll imblukkat.
Ross. 11: PowerShell b'kontenut malizzjuż imblukkat
Ross. 12: PowerShell b'kontenut malizzjuż imblukkat
4. Loader
Meta tesegwixxi, tikteb fajl ReadMe fil-folder % temp%, li huwa tipiku għal Ryuk. Dan il-fajl huwa nota ta' fidwa li fiha indirizz elettroniku fid-dominju tal-protonmail, li huwa pjuttost komuni f'din il-familja ta' malware: [protett bl-email]
Ross. 13: Domanda ta’ Fidwa
Waqt li l-bootloader ikun qed jaħdem, tista 'tara li tniedi diversi fajls eżekutibbli b'ismijiet każwali. Huma maħżuna f'folder moħbi PUBBLIKU, imma jekk l-għażla mhix attiva fis-sistema operattiva "Uri fajls u folders moħbija", imbagħad jibqgħu moħbija. Barra minn hekk, dawn il-fajls huma 64-bit, b'differenza mill-fajl ġenitur, li huwa 32-bit.
Ross. 14: Fajls eżekubbli mnedija mill-kampjun
Kif tistgħu taraw fl-immaġni ta 'hawn fuq, Ryuk iniedi icacls.exe, li se jintuża biex jimmodifika l-ACLs kollha (listi ta' kontroll tal-aċċess), u b'hekk jiżgura aċċess u modifika tal-bnadar.
Ikollha aċċess sħiħ taħt l-utenti kollha għall-fajls kollha fuq l-apparat (/T) irrispettivament mill-iżbalji (/C) u mingħajr ma juri l-ebda messaġġ (/Q).
Ross. 15: Parametri ta 'eżekuzzjoni ta' icacls.exe imnedija mill-kampjun
Huwa importanti li wieħed jinnota li Ryuk jiċċekkja liema verżjoni tal-Windows qed taħdem. Għal dan hu
twettaq verifika tal-verżjoni bl-użu GetVersionExW, li fiha jiċċekkja l-valur tal-bandiera lpVersionInformationli jindika jekk il-verżjoni attwali tal-Windows hijiex aktar ġdida minn Windows XP.
Skont jekk tkunx qed tħaddem verżjoni aktar tard minn Windows XP, il-boot loader jikteb fil-folder tal-utent lokali - f'dan il-każ fil-folder %Pubbliku%.
Ross. 17: Iċċekkja l-verżjoni tas-sistema operattiva
Il-fajl li qed jinkiteb huwa Ryuk. Imbagħad imexxih, u jgħaddi l-indirizz tiegħu stess bħala parametru.
Ross. 18: Esegwixxi Ryuk permezz ta' ShellExecute
L-ewwel ħaġa li jagħmel Ryuk hija li tirċievi l-parametri tad-dħul. Din id-darba hemm żewġ parametri ta 'input (l-eżekutibbli innifsu u l-indirizz dropper) li jintużaw biex ineħħu t-traċċi tiegħu stess.
Ross. 19: Ħolqien ta 'Proċess
Tista 'tara wkoll li ladarba tkun mexxa l-eżekutibbli tagħha, tħassar lilu nnifsu, u b'hekk ma jħalli l-ebda traċċa tal-preżenza tiegħu stess fil-folder fejn ġie eżegwit.
Ross. 20: Tħassar fajl
5. RYUK
5.1 Preżenza
Ryuk, bħal malware ieħor, jipprova jibqa 'fuq is-sistema għall-itwal żmien possibbli. Kif muri hawn fuq, mod wieħed biex jintlaħaq dan l-għan huwa li toħloq u tħaddem fajls eżekutibbli b'mod sigriet. Biex tagħmel dan, l-aktar prattika komuni hija li tibdel iċ-ċavetta tar-reġistru VerżjoniKurrenti.
F'dan il-każ, tista 'tara li għal dan il-għan l-ewwel fajl li għandu jitnieda VWjRF.exe
(l-isem tal-fajl huwa ġġenerat bl-addoċċ) tniedi cmd.exe.
Ross. 21: Eżekuzzjoni ta' VWjRF.exe
Imbagħad daħħal il-kmand RUN Bl-isem "svchos". Għalhekk, jekk trid tiċċekkja ċ-ċwievet tar-reġistru fi kwalunkwe ħin, tista 'faċilment titlef din il-bidla, minħabba x-xebh ta' dan l-isem ma 'svchost. Grazzi għal din iċ-ċavetta, Ryuk jiżgura l-preżenza tiegħu fis-sistema. Jekk is-sistema ma tkunx għadu ġie infettat, imbagħad meta terġa 'tibda s-sistema, l-eżekutibbli jerġa' jipprova.
Ross. 22: Il-kampjun jiżgura l-preżenza fiċ-ċavetta tar-reġistru
Nistgħu naraw ukoll li dan l-eżekutibbli jwaqqaf żewġ servizzi:
"audioendpointbuilder", li, kif jissuġġerixxi isimha, tikkorrispondi għall-awdjo tas-sistema,
Ross. 23: Il-kampjun iwaqqaf is-servizz tal-awdjo tas-sistema
и Samss, li huwa servizz ta' ġestjoni ta' kont. It-twaqqif ta’ dawn iż-żewġ servizzi hija karatteristika ta’ Ryuk. F'dan il-każ, jekk is-sistema hija konnessa ma 'sistema SIEM, ir-ransomware jipprova jieqaf jibgħat lil kwalunkwe twissijiet. B'dan il-mod, jipproteġi l-passi li jmiss tiegħu peress li xi servizzi SAM mhux se jkunu jistgħu jibdew ix-xogħol tagħhom b'mod korrett wara li jesegwixxu Ryuk.
Ross. 24: Il-kampjun iwaqqaf is-servizz Samss
5.2 Privileġġi
B'mod ġenerali, Ryuk jibda billi jiċċaqlaq lateralment fin-netwerk jew jiġi mniedi minn malware ieħor bħal jew , li, fil-każ ta 'eskalazzjoni ta' privileġġ, jittrasferixxu dawn id-drittijiet elevati għar-ransomware.
Qabel, bħala preludju għall-proċess ta 'implimentazzjoni, naraw lilu jwettaq il-proċess ImpersonateSelf, li jfisser li l-kontenut tas-sigurtà tat-token ta 'aċċess se jiġi mgħoddi lill-fluss, fejn se jiġi rkuprat immedjatament bl-użu GetCurrentThread.
Ross. 25: Ċempel ImpersonateSelf
Imbagħad naraw li se jassoċja token ta 'aċċess ma' ħajta. Naraw ukoll li waħda mill-bnadar hija Aċċess Mixtieq, li jistgħu jintużaw biex jikkontrollaw l-aċċess li l-ħajta se jkollha. F'dan il-każ il-valur li edx se jirċievi għandu jkun TOKEN_ALL_ACESS jew mod ieħor - TOKEN_WRITE.
Ross. 26: Ħolqien ta' Flow Token
Imbagħad se juża SeDebugPrivilege u se tagħmel sejħa biex tikseb permessi Debug fuq il-ħajta, li jirriżulta fi PROCESS_ALL_ACCESS, ikun jista' jaċċessa kwalunkwe proċess meħtieġ. Issa, peress li l-encryptor diġà għandu fluss ippreparat, dak kollu li jibqa 'huwa li jipproċedi għall-istadju finali.
Ross. 27: Sejħa SeDebugPrivilege u Funzjoni ta' Escalation tal-Privileġġ
Min-naħa waħda, għandna LookupPrivilegeValueW, li tagħtina l-informazzjoni meħtieġa dwar il-privileġġi li rridu nżidu.
Ross. 28: Itlob informazzjoni dwar privileġġi għall-eskalazzjoni tal-privileġġi
Min-naħa l-oħra, għandna AdjustTokenPrivileges, li jippermettilna niksbu d-drittijiet meħtieġa għall-fluss tagħna. F'dan il-każ, l-iktar ħaġa importanti hija NewState, li l-bandiera tagħha se tagħti privileġġi.
Ross. 29: Twaqqif ta' drittijiet għal token
5.3 Implimentazzjoni
F'din it-taqsima, ser nuru kif il-kampjun iwettaq il-proċess ta 'implimentazzjoni msemmi qabel f'dan ir-rapport.
L-għan ewlieni tal-proċess ta 'implimentazzjoni, kif ukoll l-eskalazzjoni, huwa li jinkiseb aċċess għal shadow kopji. Biex tagħmel dan, jeħtieġ li jaħdem b'ħajta bi drittijiet ogħla minn dawk tal-utent lokali. Ladarba jikseb tali drittijiet elevati, se jħassar kopji u jagħmel bidliet fi proċessi oħra sabiex jagħmilha impossibbli li terġa 'lura għal punt ta' restawr preċedenti fis-sistema operattiva.
Kif huwa tipiku ma 'dan it-tip ta' malware, juża CreateToolHelp32Snapshotgħalhekk tieħu stampa tal-proċessi li qed jaħdmu bħalissa u tipprova taċċessa dawk il-proċessi bl-użu OpenProcess. Ladarba jikseb aċċess għall-proċess, jiftaħ ukoll token bl-informazzjoni tiegħu biex jikseb il-parametri tal-proċess.
Ross. 30: Irkuprar proċessi minn kompjuter
Nistgħu naraw b'mod dinamiku kif tikseb il-lista ta 'proċessi li qed jaħdmu fir-rutina 140002D9C billi tuża CreateToolhelp32Snapshot. Wara li jirċievihom, jgħaddi mill-lista, jipprova jiftaħ proċessi wieħed wieħed billi juża OpenProcess sakemm jirnexxi. F'dan il-każ, l-ewwel proċess li seta' jiftaħ kien "taskhost.exe".
Ross. 31: Eżegwixxi Proċedura b'mod dinamiku biex tikseb Proċess
Nistgħu naraw li sussegwentement jaqra l-informazzjoni tat-token tal-proċess, għalhekk issejjaħ OpenProcessToken bil-parametru "20008"
Ross. 32: Aqra l-informazzjoni tat-token tal-proċess
Jiċċekkja wkoll li l-proċess li fih se jiġi injettat mhuwiex csrss.exe, explorer.exe, lsaas.exe jew li għandu sett ta’ drittijiet awtorità NT.
Ross. 33: Proċessi esklużi
Nistgħu naraw b'mod dinamiku kif l-ewwel twettaq il-verifika billi tuża l-informazzjoni tat-token tal-proċess 140002D9C sabiex issir taf jekk il-kont li d-drittijiet tiegħu qed jintużaw biex tesegwixxi proċess huwiex kont AWTORITÀ NT.
Ross. 34: NT AWTORITÀ kontroll
U aktar tard, barra mill-proċedura, jiċċekkja li dan le csrss.exe, explorer.exe jew lsaas.exe.
Ross. 35: NT AWTORITÀ kontroll
Ladarba jkun ħa stampa tal-proċessi, fetaħ il-proċessi, u vverifika li l-ebda wieħed minnhom ma huwa eskluż, huwa lest li jikteb fil-memorja l-proċessi li se jiġu injettati.
Biex tagħmel dan, l-ewwel tirriżerva żona fil-memorja (VirtualAllocEx), jikteb fiha (WriteProcessmemory) u joħloq ħajt (CreateRemoteThread). Biex taħdem ma 'dawn il-funzjonijiet, hija tuża l-PIDs tal-proċessi magħżula, li qabel kisbet bl-użu CreateToolhelp32Snapshot.
Ross. 36: Inkorpora kodiċi
Hawnhekk nistgħu nosservaw b'mod dinamiku kif juża l-proċess PID biex isejjaħ il-funzjoni VirtualAllocEx.
Ross. 37: Ċempel VirtualAllocEx
5.4 Encryption
F'din it-taqsima, aħna ser inħarsu lejn il-porzjon ta 'encryption ta' dan il-kampjun. Fl-istampa li ġejja tista' tara żewġ subroutines imsejħa "LoadLibrary_EncodeString"U"Encode_Func", li huma responsabbli għat-twettiq tal-proċedura tal-kriptaġġ.
Ross. 38: Proċeduri ta' kriptaġġ
Fil-bidu nistgħu naraw kif jgħabbi string li aktar tard se tintuża biex deobfuscate dak kollu li huwa meħtieġ: importazzjonijiet, DLLs, kmandi, fajls u CSPs.
Ross. 39: Ċirkwit ta 'deobfuscation
Il-figura li ġejja turi l-ewwel importazzjoni li tneħħi l-oskura fir-reġistru R4. LoadLibrary. Dan se jintuża aktar tard biex jgħabbi d-DLLs meħtieġa. Nistgħu naraw ukoll linja oħra fir-reġistru R12, li tintuża flimkien mal-linja preċedenti biex twettaq deobfuscation.
Ross. 40: Deobfuscation dinamiku
Ikompli tniżżel il-kmandi li se jibda aktar tard biex jiskonnettja l-backups, jirrestawra l-punti, u l-modi tal-ibbutjar sikuri.
Ross. 41: Kmandi tat-tagħbija
Imbagħad jgħabbi l-post fejn se jwaqqa 3 fajls: Windows.bat, run.sct и tibda.bat.
Ross. 42: Postijiet tal-Fajls
Dawn it-3 fajls jintużaw biex jiċċekkjaw il-privileġġi li kull post għandu. Jekk il-privileġġi meħtieġa ma jkunux disponibbli, Ryuk iwaqqaf l-eżekuzzjoni.
Ikompli jgħabbi l-linji li jikkorrispondu mat-tliet fajls. L-ewwel, DECRYPT_INFORMATION.html, fih informazzjoni meħtieġa biex tirkupra l-fajls. It-tieni, PUBBLIKU, fih iċ-ċavetta pubblika RSA.
Ross. 43: Linja DECRYPT INFORMATION.html
It-tielet, UNIQUE_ID_DO_NOT_REMOVE, fih iċ-ċavetta encrypted li se tintuża fir-rutina li jmiss biex twettaq l-encryption.
Ross. 44: Linja ID UNIKU TNEĦĦIX
Fl-aħħarnett, tniżżel il-libreriji meħtieġa flimkien mal-importazzjonijiet u CSPs meħtieġa (Microsoft Enhanced RSA и Fornitur Kriptografiku AES).
Ross. 45: Tagħbija tal-libreriji
Wara li titlesta l-deobfuscation kollha, tipproċedi biex twettaq l-azzjonijiet meħtieġa għall-encryption: enumerazzjoni tad-drajvs loġiċi kollha, tesegwixxi dak li kien mgħobbi fir-rutina ta 'qabel, tisħiħ tal-preżenza fis-sistema, titfa' l-fajl RyukReadMe.html, encryption, enumerazzjoni tad-drives tan-netwerk kollha , transizzjoni għal apparati skoperti u l-encryption tagħhom.
Kollox jibda bit-tagħbija"cmd.exe" u r-rekords taċ-ċavetta pubblika RSA.
Ross. 46: Tħejjija għall-kriptaġġ
Imbagħad jiġrilha drajvs loġiċi kollha bl-użu GetLogicalDrives u tiddiżattiva l-backups kollha, ir-restawr tal-punti u l-modi tal-ibbutjar sikuri.
Ross. 47: Id-diżattivazzjoni ta' għodod ta' rkupru
Wara dan, isaħħaħ il-preżenza tiegħu fis-sistema, kif rajna hawn fuq, u jikteb l-ewwel fajl RyukReadMe.html в TEMP.
Ross. 48: Pubblikazzjoni ta’ avviż ta’ fidwa
Fl-istampa li ġejja tista’ tara kif toħloq fajl, tniżżel il-kontenut u tikteb:
Ross. 49: Tagħbija u kitba tal-kontenut tal-fajl
Biex ikun jista 'jwettaq l-istess azzjonijiet fuq l-apparati kollha, huwa juża
"icacls.exe", kif urejna hawn fuq.
Ross. 50: Uża icalcls.exe
U fl-aħħarnett, jibda jikkripta fajls ħlief għal fajls "*.exe", "*.dll", fajls tas-sistema u postijiet oħra speċifikati fil-forma ta 'lista bajda kriptata. Biex tagħmel dan, tuża l-importazzjonijiet: CryptAcquireContextW (fejn l-użu ta' AES u RSA huwa speċifikat), CryptDeriveKey, CryptGenKey, CryptDestroyKey eċċ. Jipprova wkoll jestendi l-firxa tiegħu għal apparati tan-netwerk skoperti billi juża WNetEnumResourceW u mbagħad jikkriptawhom.
Ross. 51: Encrypting tal-fajls tas-sistema
6. Importazzjonijiet u bnadar korrispondenti
Hawn taħt hawn tabella li telenka l-aktar importazzjonijiet u bnadar rilevanti użati mill-kampjun:
7. IOC
referenzi
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Rapport tekniku dwar ir-ransomware Ryuk ġie kkompilat minn esperti mil-laboratorju antivirus PandaLabs.
8. Links
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Pubblikazzjoni l-04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “Karta VB2019: vendetta ta’ Shinigami: id-denb twil tal-malware Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Kaċċa tal-Kaċċa l-Kbira b'Ryuk: Ransomware ieħor LucrativebTargeted."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Pubblikazzjoni l-10/01/2019.
5. “Karta VB2019: vendetta ta’ Shinigami: id-denb twil tal-malware Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Sors: www.habr.com