Ryuk ni mojawapo ya lahaja maarufu zaidi za ransomware katika miaka michache iliyopita. Tangu ilionekana kwa mara ya kwanza katika msimu wa joto wa 2018, imekusanya , hasa katika mazingira ya biashara, ambayo ni lengo kuu la mashambulizi yake.
1. Habari za jumla
Hati hii ina uchanganuzi wa lahaja ya Ryuk ransomware, pamoja na kipakiaji kinachohusika na kupakia programu hasidi kwenye mfumo.
Ransomware ya Ryuk ilionekana kwa mara ya kwanza katika msimu wa joto wa 2018. Mojawapo ya tofauti kati ya Ryuk na programu nyingine ya ukombozi ni kwamba inalenga kushambulia mazingira ya shirika.
Katikati ya mwaka wa 2019, vikundi vya wahalifu mtandaoni vilishambulia idadi kubwa ya kampuni za Uhispania zinazotumia programu hii ya ukombozi.
Kielelezo 1: Dondoo kutoka kwa El Confidencial kuhusu shambulio la Ryuk ransomware [1]
Kielelezo 2: Dondoo kutoka El País kuhusu shambulio lililotekelezwa kwa kutumia zana ya kikombozi ya Ryuk [2]
Mwaka huu, Ryuk imeshambulia idadi kubwa ya makampuni katika nchi mbalimbali. Kama unavyoona kutoka kwa takwimu hapa chini, Ujerumani, Uchina, Algeria, na India ndizo zilizoathiriwa zaidi.
Kwa kulinganisha idadi ya mashambulizi ya mtandao, tunaweza kuona kwamba Ryuk iliathiri mamilioni ya watumiaji na kuathiri kiasi kikubwa cha data, na kusababisha uharibifu mkubwa wa kiuchumi.
Kielelezo cha 3: Mchoro wa shughuli za kimataifa za Ryuk.
Kielelezo 4: Nchi 16 zilizoathiriwa zaidi na Ryuk
Kielelezo 5: Idadi ya watumiaji walioshambuliwa na Ryuk ransomware (katika mamilioni)
Kama ilivyo kwa matishio kama haya, baada ya usimbaji fiche kukamilika, programu ya ukombozi inaonyesha noti ya fidia kwa mwathiriwa, ambayo lazima ilipwe kwa Bitcoin kwa anwani maalum ili kurejesha ufikiaji wa faili zilizosimbwa.
Programu hasidi hii imebadilika tangu ilipoonekana mara ya kwanza.
Lahaja ya tishio hili iliyochambuliwa katika karatasi hii iligunduliwa wakati wa jaribio la shambulio mnamo Januari 2020.
Kwa sababu ya uchangamano wake, programu hasidi hii mara nyingi huhusishwa na vikundi vya uhalifu wa mtandaoni, vinavyojulikana pia kama vikundi vya APT.
Baadhi ya msimbo wa Ryuk una mfanano unaoonekana na msimbo na muundo wa programu nyingine inayojulikana ya ukombozi, Hermes, ambayo inashiriki kazi kadhaa. Ndiyo maana awali Ryuk alihusishwa na kundi la Lazaro la Korea Kaskazini, ambalo lilishukiwa wakati huo kuwa nyuma ya Hermes ransomware.
Huduma ya Falcon X ya CrowdStrike baadaye ilibainisha kuwa Ryuk iliundwa na kikundi cha WIZARD SPIDER [4].
Kuna vipande kadhaa vya ushahidi kuunga mkono dhana hii. Kwanza, programu hii ya ukombozi ilitangazwa kwenye tovuti ya exploit.in, soko maarufu la programu hasidi la Urusi ambalo hapo awali lilihusishwa na vikundi kadhaa vya Urusi vya APT.
Ukweli huu unaondoa nadharia kwamba Ryuk ingeweza kuanzishwa na kikundi cha APT Lazaro, kwani hailingani na mtindo wa uendeshaji wa kikundi.
Zaidi ya hayo, Ryuk ilitangazwa kama programu ya ukombozi ambayo haitafanya kazi kwenye mifumo ya Kirusi, Kiukreni, au Kibelarusi. Tabia hii inatokana na chaguo la kukokotoa linalopatikana katika baadhi ya matoleo ya Ryuk ambayo hukagua lugha ya mfumo unaoendesha programu ya kukomboa na kuisimamisha ikiwa mfumo unatumia Kirusi, Kiukreni, au Kibelarusi. Hatimaye, uchanganuzi wa kitaalamu wa mashine iliyodukuliwa na kikundi cha WIZARD SPIDER ulifichua "vitu vya kale" kadhaa ambavyo huenda vilitumika katika uundaji wa Ryuk kama toleo la programu ya ukombozi ya Hermes.
Kwa upande mwingine, wataalamu Gabriela Nicolao na Luciano Martins walipendekeza kuwa programu ya ukombozi inaweza kuwa ilitengenezwa na kundi la APT CryptoTech [5].
Hii inafuatia ukweli kwamba miezi kadhaa kabla ya Ryuk kuonekana, kikundi hiki kilichapisha kwenye jukwaa la tovuti hiyo kwamba walikuwa wametengeneza toleo jipya la Hermes ransomware.
Watumiaji kadhaa wa jukwaa walihoji ikiwa CryptoTech ilikuwa imeunda Ryuk. Baadaye kikundi hicho kilijitetea na kudai kuwa kina ushahidi unaothibitisha kuwa kilikuwa kimetengeneza 100% ya ransomware.
2. Sifa
Tunaanza na bootloader, ambayo kazi yake ni kutambua mfumo uliopo ili toleo la "sahihi" la Ryuk ransomware liweze kuendeshwa.
Hashi ya bootloader ni kama ifuatavyo:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Mojawapo ya sifa za kipakuzi hiki ni kwamba haina metadata yoyote, i.e. waundaji wa programu hasidi hawakujumuisha habari yoyote ndani yake.
Wakati mwingine hujumuisha data yenye makosa ili kumhadaa mtumiaji kufikiria kuwa anazindua programu halali. Hata hivyo, kama tutakavyoona baadaye, ikiwa maambukizi hayahitaji mwingiliano wa mtumiaji (kama ilivyo kwa programu hii ya ukombozi), wavamizi hawaoni kuwa ni muhimu kutumia metadata.
Kielelezo cha 6: Mfano wa metadata
Sampuli iliundwa katika umbizo la 32-bit ili iweze kuendeshwa kwenye mifumo ya 32-bit na 64-bit.
3. Vector ya kupenya
Sampuli inayopakua na kuendesha Ryuk iliingia kwenye mfumo wetu kupitia muunganisho wa mbali, na vitambulisho vilipatikana kupitia shambulio la awali la RDP.
Kielelezo 7: Usajili wa mashambulizi
Mshambulizi alifanikiwa kuingia kwenye mfumo kwa mbali. Baadaye, waliunda faili inayoweza kutekelezwa iliyo na sampuli yetu.
Faili hii inayoweza kutekelezwa ilizuiwa na suluhisho la antivirus kabla ya kuendeshwa.
Kielelezo 8: Uzuiaji wa sampuli
Kielelezo 9: Uzuiaji wa sampuli
Mara faili hasidi ilipofungwa, mshambuliaji alijaribu kupakua toleo lililosimbwa la faili inayoweza kutekelezwa, ambayo pia ilikuwa imefungwa.
Kielelezo 10: Seti ya sampuli ambazo mshambuliaji alijaribu kukimbia
Hatimaye, alijaribu kupakua faili nyingine hasidi kupitia koni iliyosimbwa.
PowerShell ilitumiwa kukwepa ulinzi wa antivirus. Lakini pia ilizuiwa.
Kielelezo cha 11: PowerShell iliyo na maudhui hasidi yamezuiwa
Kielelezo cha 12: PowerShell iliyo na maudhui hasidi yamezuiwa
4. Kipakiaji
Wakati inaendeshwa, huandika faili ya ReadMe kwenye folda %%, ambayo ni ya kawaida ya Ryuk. Faili hii ni noti ya fidia iliyo na anwani ya barua pepe katika kikoa cha protonmail, ambayo ni ya kawaida sana katika familia hii ya programu hasidi: msifelabem1981@protonmail.com
Kielelezo 13: Mahitaji ya fidia
Wakati kipakuzi kinafanya kazi, unaweza kugundua kuwa inazindua faili kadhaa zinazoweza kutekelezeka na majina ya nasibu. Zimehifadhiwa kwenye folda iliyofichwa. PUBLIC, lakini ikiwa chaguo haifanyi kazi katika mfumo wa uendeshaji Onyesha faili na folda zilizofichwa, zitabaki zimefichwa. Zaidi ya hayo, faili hizi ni 64-bit, tofauti na faili ya mzazi, ambayo ni 32-bit.
Kielelezo 14: Faili zinazoweza kutekelezeka zilizozinduliwa na sampuli
Kama unavyoona kwenye picha iliyo hapo juu, Ryuk inaendesha icacls.exe ambayo itatumika kurekebisha ACL zote (orodha za udhibiti wa Ufikiaji), hivyo basi kuhakikisha ufikiaji na mabadiliko ya alama.
Inapata ufikiaji kamili chini ya watumiaji wote kwa faili zote kwenye kifaa (/T), bila kujali hitilafu (/C) na bila kuonyesha ujumbe wowote (/Q).
Kielelezo 15: Vigezo vya utekelezaji wa icacls.exe vilivyozinduliwa na sampuli
Ni muhimu kutambua kwamba Ryuk huangalia ni toleo gani linalofanya kazi WindowsKwa hili yeye
hufanya ukaguzi wa toleo kwa kutumia GetVersionExW, ambamo hukagua thamani ya bendera lpVersionInformation, kuonyesha kama toleo la sasa ni Windows baadaye kuliko Windows XP.
Kulingana na kama unaendesha toleo la baadaye kuliko Windows XP, kipakiaji cha mzigo kitaandika kwenye folda ya mtumiaji wa ndani - katika hali hii, kwenye folda Umma%.
Kielelezo 17: Kuangalia toleo la mfumo wa uendeshaji
Faili inayoandikwa ni Ryuk. Kisha huiendesha, ikipitisha anwani yake kama kigezo.
Kielelezo 18: Utekelezaji wa Ryuk kupitia ShellExecute
Jambo la kwanza Ryuk hufanya ni kupokea vigezo vya pembejeo. Wakati huu, kuna vigezo viwili vya pembejeo (inayoweza kutekelezwa yenyewe na anwani ya dropper), ambayo hutumiwa kuondoa athari zake.
Kielelezo 19: Kuunda mchakato
Unaweza pia kuona kwamba mara tu inapoendesha utekelezaji wake, inajifuta yenyewe, na hivyo kuacha hakuna athari ya uwepo wake kwenye folda ambayo ilitekelezwa.
Kielelezo 20: Kufuta faili
5. RYUK
5.1 Uwepo
Ryuk, kama programu hasidi nyingine, inajaribu kubaki kwenye mfumo kwa muda mrefu iwezekanavyo. Kama inavyoonyeshwa hapo juu, njia moja ya kufikia hili ni kwa kuunda na kuendesha faili zinazoweza kutekelezwa kwa siri. Njia ya kawaida ya hii ni kurekebisha ufunguo wa Usajili. CurrentVersionRun.
Katika kesi hii, unaweza kuona kwamba faili ya kwanza kutekelezwa kwa kusudi hili ni VWjRF.exe
(jina la faili limetolewa kwa nasibu) huzindua cmd.exe.
Kielelezo 21: Utekelezaji wa faili ya VWjRF.exe
Kisha amri imeingizwa RUN kwa jina"svchos". Kwa hiyo, ukiangalia funguo zako za Usajili wakati wowote, unaweza kukosa mabadiliko haya kwa urahisi, kutokana na kufanana kwa jina hili kwa svchost. Ryuk hutumia ufunguo huu ili kuhakikisha uwepo wake katika mfumo. Ikiwa mfumo bado haujaambukizwa, faili inayoweza kutekelezwa itajaribu tena unapoanzisha upya.
Kielelezo 22: Sampuli inahakikisha uwepo katika ufunguo wa usajili
Tunaweza pia kuona kwamba hii inayoweza kutekelezwa inasimamisha huduma mbili:
"audioendpointbuilder", ambayo, kama jina lake linavyopendekeza, inalingana na sauti ya mfumo,
Kielelezo 23: Sampuli inasimamisha huduma ya sauti ya mfumo
и samss, ambayo ni huduma ya usimamizi wa akaunti. Kusimamisha huduma hizi mbili ni tabia ya Ryuk. Katika kesi hii, ikiwa mfumo umeunganishwa kwenye mfumo wa SIEM, ransomware inajaribu kuacha kutuma Hakuna maonyo yanayotolewa. Hii inalinda hatua zake zinazofuata, kwani baadhi ya huduma za SAM hazitaweza kuanza ipasavyo baada ya Ryuk kutekelezwa.
Kielelezo 24: Sampuli inasimamisha huduma ya Samss
5.2 Mapendeleo
Kwa ujumla, Ryuk huanza kwa kusonga mbele ndani ya mtandao au inazinduliwa na programu hasidi nyingine kama vile au , ambayo, katika tukio la kuongezeka kwa fursa, huhamisha haki hizi za juu kwa programu ya ukombozi.
Mapema, kama utangulizi wa mchakato wa utekelezaji, tunamwona akifanya mchakato huo Jiige, ambayo ina maana kwamba maudhui ya usalama ya tokeni ya ufikiaji yatapitishwa kwenye mkondo, ambapo itarejeshwa mara moja na GetCurrentThread.
Kielelezo 25: Kujiita Jiige
Kisha tunaona kwamba itahusisha ishara ya ufikiaji na mtiririko. Pia tunaona kwamba moja ya bendera ni DesiredAccess, ambayo inaweza kutumika kudhibiti ufikiaji ambao thread itakuwa nayo. Katika kesi hii, thamani ambayo edx itapokea inapaswa kuwa TOKEN_ALL_ACESS au vinginevyo - TOKEN_WRITE.
Mchele. 26: Kutengeneza Tokeni ya Mtiririko
Kisha atatumia SeDebugPrivilege na nitapiga simu ili kupata ruhusa za Utatuzi kwenye uzi, kama matokeo yake, kwa kubainisha PROCESS_ALL_ACCESS, itaweza kufikia mchakato wowote unaohitajika. Sasa, kwa kuzingatia kwamba programu ya ukombozi tayari ina mkondo uliotayarishwa, kilichobaki ni kuendelea hadi hatua ya mwisho.
Mchoro 27: SeDebugPrivilege simu na upanuzi wa upendeleo
Kwa upande mmoja, tuna LookupPrivilegeValueW, ambayo hutupatia taarifa muhimu kuhusu mapendeleo tunayotaka kuongeza.
Kielelezo cha 28: Kuomba taarifa kuhusu mapendeleo kwa ajili ya kupanda
Kwa upande mwingine, tuna AdjustTokenPrivileges, ambayo huturuhusu kupata haki zinazohitajika kwa mkondo wetu. Katika kesi hii, jambo muhimu zaidi ni Jimbo jipya, ambaye bendera yake itatoa marupurupu.
Mtini. 29: Kuweka vibali vya tokeni
5.3 Utekelezaji
Katika sehemu hii, tutaonyesha jinsi sampuli inavyotekeleza mchakato wa utekelezaji uliotajwa hapo awali katika ripoti hii.
Lengo kuu la mchakato wa utekelezaji, pamoja na kuongezeka, ni kupata ufikiaji nakala za kivuliIli kufanya hivyo, inahitaji kuendeshwa kwenye uzi wenye mapendeleo ya juu kuliko mtumiaji wa ndani. Mara tu itakapopata marupurupu haya ya juu, itafuta nakala na kurekebisha michakato mingine ili kuifanya isiwezekane kurejea mahali pa kurejesha awali katika mfumo wa uendeshaji.
Kama ilivyo kwa aina hii ya programu hasidi, hutumia mzigo kutekeleza sindano. CreateToolHelp32Picha, kwa hivyo inachukua taswira ya michakato inayoendelea sasa na inajaribu kufikia michakato hiyo kwa kutumia OpenProcessMara tu inapopata ufikiaji wa mchakato, pia inafungua ishara na habari yake ili kupata vigezo vya mchakato.
Kielelezo 30: Kupata michakato kutoka kwa kompyuta
Tunaweza kuona jinsi inavyopata tena orodha ya michakato inayoendeshwa katika utaratibu mdogo wa 140002D9C kwa kutumia CreateToolhelp32Snapshot. Mara tu inapozipata, inarudia kupitia orodha, ikijaribu kufungua kila mchakato mmoja baada ya mwingine kwa kutumia OpenProcess hadi ifaulu. Katika kesi hii, mchakato wa kwanza uliweza kufungua ulikuwa taskhost.exe.
Kielelezo 31: Utekelezaji wa nguvu wa utaratibu wa kupata mchakato
Tunaweza kuona kwamba baadaye inasoma habari ya ishara ya mchakato, kwa hivyo inaita OpenProcessToken na kigezo"20008"
Kielelezo 32: Taarifa za mchakato wa kusoma
Pia inakagua kuwa mchakato ambao itatekelezwa sio csrss.exe, Explorer.exe, lsaas.exe au kwamba ana seti ya haki Mamlaka ya NT.
Kielelezo 33: Michakato isiyojumuishwa
Tunaweza kuona jinsi inavyofanya ukaguzi kwanza kwa kutumia maelezo ya tokeni ya mchakato ndani 140002D9C ili kujua kama akaunti ambayo haki zake zinatumika kutekeleza mchakato ni akaunti MAMLAKA YA NT.
Mchele. 34: ukaguzi wa MAMLAKA ya NT
Na baadaye, nje ya utaratibu, anaangalia kwamba sivyo csrss.exe, explorer.exe au lsaas.exe.
Mchele. 35: ukaguzi wa MAMLAKA ya NT
Mara tu inapochukua picha ya michakato, kufungua michakato, na kuthibitishwa kuwa hakuna hata mmoja wao aliyetengwa, iko tayari kuandika michakato ya kuingizwa kwenye kumbukumbu.
Ili kufanya hivyo, kwanza huhifadhi eneo kwenye kumbukumbu (VirtualAllocEx), anaandika ndani yake (AndikaMchakato wa kumbukumbu) na kuunda mkondo (TengenezaThread ya Remote) Ili kufanya kazi na kazi hizi, hutumia PID za michakato iliyochaguliwa, ambayo ilipata hapo awali kwa kutumia CreateToolhelp32Picha.
Kielelezo 36: Pachika msimbo
Hapa tunaweza kuona kwa nguvu jinsi inavyotumia mchakato wa PID kuita kazi hiyo VirtualAllocEx.
Kielelezo 37: Kupigia simu VirtualAllocEx
5.4 Usimbaji fiche
Katika sehemu hii, tutaangalia sehemu ya usimbaji fiche ya sampuli hii. Katika takwimu ifuatayo, unaweza kuona subroutines mbili zinazoitwa "LoadLibrary_EncodeString"na"Encode_Func", ambayo inawajibika kwa kutekeleza utaratibu wa usimbuaji.
Kielelezo 38: Taratibu za usimbaji fiche
Hapo mwanzo tunaweza kuona jinsi inavyopakia mfuatano ambao baadaye utatumika kufumbua kila kitu kinachohitajika: uagizaji, DLL, amri, faili na CSP.
Kielelezo 39: Msururu wa kueleweka
Kielelezo kifuatacho kinaonyesha uagizaji wa kwanza unaoeleweka katika rejista ya R4, KimsingiHii itatumika baadaye kupakia DLL zinazohitajika. Tunaweza pia kuona mfuatano mwingine katika sajili R12, ambayo inatumika pamoja na mfuatano wa awali kufanya kurahisisha kueleweka.
Kielelezo cha 40: Ufafanuzi wa nguvu
Inaendelea kupakia amri ambazo itatekeleza baadaye ili kuzima chelezo, pointi za kurejesha na hali salama za kuwasha.
Kielelezo 41: Kupakia amri
Kisha anapakia mahali ambapo ataacha faili 3: Windows.popo, kimbia.sct и anza.bat.
Kielelezo 42: Maeneo ya faili
Faili hizi tatu hutumiwa kuangalia haki za kila eneo. Ikiwa haki zinazohitajika hazipatikani, Ryuk atasimamisha utekelezaji.
Inaendelea kupakia mistari inayolingana na faili tatu. Ya kwanza, DECRYPT_INFORMATION.html, ina taarifa zinazohitajika kurejesha faili. Ya pili, PUBLIC, ina ufunguo wa umma wa RSA.
Kielelezo 43: Mstari wa DECRYPT INFORMATION.html
Tatu, UNIQUE_ID_DO_NOT_ONDOA, ina ufunguo uliosimbwa ambao utatumika katika utaratibu unaofuata kutekeleza usimbaji fiche.
Kielelezo cha 44: KITAMBULISHO CHA KIPEKEE USIONDOE laini
Mwishowe, inapakia maktaba zinazohitajika pamoja na uagizaji unaohitajika na CSP (Microsoft Imeboreshwa RSA и Mtoa huduma wa AES Cryptographic).
Kielelezo 45: Inapakia maktaba
Mara tu upotoshaji wote utakapokamilika, inaendelea kufanya vitendo vinavyohitajika kwa usimbaji fiche: kuorodhesha anatoa zote za kimantiki, kutekeleza kile kilichopakiwa katika subroutine ya awali, kuimarisha uwepo wake katika mfumo, kuacha faili ya RyukReadMe.html, usimbaji fiche, kuorodhesha anatoa zote za mtandao, kubadili kwenye vifaa vilivyotambuliwa na kusimba.
Yote huanza na kupakia "cmd.exe" na rekodi za ufunguo wa umma wa RSA.
Kielelezo 46: Kujitayarisha kwa usimbaji fiche
Kisha hupata anatoa zote za kimantiki kwa kutumia GetLogicalDrives na huzima chelezo zote, pointi za kurejesha, na hali salama za kuwasha.
Kielelezo 47: Kuzima zana za kurejesha
Baada ya hayo, inaimarisha uwepo wake katika mfumo, kama tulivyoona hapo juu, na kuandika faili ya kwanza RyukReadMe.html в Jaribio.
Kielelezo 48: Kuchapisha notisi ya fidia
Katika picha ifuatayo unaweza kuona jinsi inavyounda faili, kupakia yaliyomo na kuiandika:
Kielelezo 49: Kupakia na kuandika yaliyomo kwenye faili
Ili kuweza kufanya vitendo sawa kwenye vifaa vyote, hutumia
"icacls.exe", kama tulivyoonyesha hapo juu.
Kielelezo cha 50: Kwa kutumia icalcls.exe
Hatimaye, huanza kusimba faili, bila kujumuisha *.exe, *.dll, faili za mfumo, na maeneo mengine yaliyobainishwa katika orodha iliyoidhinishwa iliyosimbwa kwa njia fiche. Ili kufanya hivyo, hutumia uagizaji: CryptAcquireContextW (ambapo matumizi ya AES na RSA yameonyeshwa), CryptDeriveKey, CryptGenKey, CryptDestroyKey n.k. Jaribio pia linafanywa kupanua hatua yake kwa vifaa vya mtandao vilivyogunduliwa kwa kutumia WNetEnumResourceW na kisha kuvisimba kwa njia fiche.
Kielelezo 51: Kusimba faili za mfumo
6. Uagizaji na bendera zinazolingana
Ifuatayo ni jedwali linaloorodhesha uagizaji na bendera muhimu zaidi zinazotumiwa na sampuli:
7. IOC
marejeo
- usersPublicrun.sct
- Anza MenyuProgramuStartupstart.bat AppDataRoamingMicrosoftWindowsMwanzo
- MenuProgramsStartupstart.bat
Ripoti ya kiufundi kuhusu Ryuk ransomware ilikusanywa na wataalamu kutoka kwa maabara ya antivirus ya PandaLabs.
8. Viungo
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "Karatasi ya VB2019: kulipiza kisasi kwa Shinigami: mkia mrefu wa programu hasidi ya Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11/12/2019
crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 01/10/2019.
5. "Karatasi ya VB2019: kulipiza kisasi kwa Shinigami: mkia mrefu wa programu hasidi ya Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Chanzo: mapenzi.com
