Ryuk ni mojawapo ya chaguo maarufu zaidi za ransomware katika miaka michache iliyopita. Tangu ilionekana kwa mara ya kwanza katika majira ya joto ya 2018, imekusanya , hasa katika mazingira ya biashara, ambayo ni lengo kuu la mashambulizi yake.
1. Habari za jumla
Hati hii ina uchanganuzi wa lahaja ya Ryuk ransomware, pamoja na kipakiaji kinachohusika na kupakia programu hasidi kwenye mfumo.
Ryuk ransomware ilionekana kwanza katika msimu wa joto wa 2018. Moja ya tofauti kati ya Ryuk na ransomware nyingine ni kwamba inalenga kushambulia mazingira ya shirika.
Katikati ya 2019, vikundi vya wahalifu wa mtandaoni vilishambulia idadi kubwa ya kampuni za Uhispania zinazotumia programu hii ya ukombozi.
Mchele. 1: Dondoo kutoka kwa El Confidencial kuhusu shambulio la Ryuk ransomware [1]
Mchele. 2: Dondoo kutoka kwa El PaΓs kuhusu shambulio lililotekelezwa kwa kutumia programu ya ukombozi ya Ryuk [2]
Mwaka huu, Ryuk imeshambulia idadi kubwa ya makampuni katika nchi mbalimbali. Kama unavyoona katika takwimu hapa chini, Ujerumani, Uchina, Algeria na India ndizo zilizoathiriwa zaidi.
Kwa kulinganisha idadi ya mashambulizi ya mtandao, tunaweza kuona kwamba Ryuk imeathiri mamilioni ya watumiaji na kuathiri kiasi kikubwa cha data, na kusababisha hasara kubwa ya kiuchumi.
Mchele. 3: Mchoro wa shughuli za kimataifa za Ryuk.
Mchele. 4: Nchi 16 zilizoathiriwa zaidi na Ryuk
Mchele. 5: Idadi ya watumiaji walioshambuliwa na Ryuk ransomware (katika mamilioni)
Kwa mujibu wa kanuni ya kawaida ya uendeshaji wa vitisho vile, ransomware hii, baada ya usimbaji fiche kukamilika, inaonyesha mwathirika taarifa ya fidia ambayo inapaswa kulipwa kwa bitcoins kwa anwani maalum ili kurejesha upatikanaji wa faili zilizosimbwa.
Programu hasidi hii imebadilika tangu ilipoanzishwa mara ya kwanza.
Lahaja ya tishio hili iliyochambuliwa katika hati hii iligunduliwa wakati wa jaribio la shambulio mnamo Januari 2020.
Kwa sababu ya uchangamano wake, programu hasidi hii mara nyingi huhusishwa na vikundi vya uhalifu wa mtandaoni, vinavyojulikana pia kama vikundi vya APT.
Sehemu ya msimbo wa Ryuk ina ulinganifu unaoonekana kwa msimbo na muundo wa programu nyingine ya ukombozi inayojulikana, Hermes, ambayo wanashiriki idadi ya kazi zinazofanana. Ndiyo maana awali Ryuk alihusishwa na kundi la Lazaro la Korea Kaskazini, ambalo wakati huo lilishukiwa kuwa nyuma ya shirika la ukombozi la Hermes.
Huduma ya Falcon X ya CrowdStrike ilibainisha baadaye kuwa Ryuk iliundwa na kikundi cha WIZARD SPIDER [4].
Kuna baadhi ya ushahidi kuunga mkono dhana hii. Kwanza, ransomware hii ilitangazwa kwenye tovuti ya exploit.in, ambayo ni soko maarufu la programu hasidi ya Urusi na hapo awali ilihusishwa na baadhi ya vikundi vya APT vya Urusi.
Ukweli huu unaondoa nadharia kwamba Ryuk ingeweza kutengenezwa na kundi la Lazaro APT, kwa sababu haiendani na jinsi kikundi kinavyofanya kazi.
Kwa kuongeza, Ryuk ilitangazwa kama ransomware ambayo haitafanya kazi kwenye mifumo ya Kirusi, Kiukreni na Kibelarusi. Tabia hii inabainishwa na kipengele kinachopatikana katika baadhi ya matoleo ya Ryuk, ambapo hukagua lugha ya mfumo ambao programu ya kukomboa fedha inatumika na kuizuia kufanya kazi ikiwa mfumo una lugha ya Kirusi, Kiukreni au Kibelarusi. Hatimaye, uchanganuzi wa kitaalamu wa mashine ambayo ilidukuliwa na timu ya WIZARD SPIDER ulifichua "vitu vya kale" kadhaa ambavyo vilidaiwa kutumika katika uundaji wa Ryuk kama toleo la programu ya ukombozi ya Hermes.
Kwa upande mwingine, wataalamu Gabriela Nicolao na Luciano Martins walipendekeza kuwa programu ya ukombozi inaweza kuwa ilitengenezwa na kundi la APT CryptoTech [5].
Hii inafuatia ukweli kwamba miezi kadhaa kabla ya kuonekana kwa Ryuk, kikundi hiki kilichapisha habari kwenye jukwaa la tovuti hiyo hiyo kwamba walikuwa wametengeneza toleo jipya la ransomware ya Hermes.
Watumiaji kadhaa wa jukwaa walihoji ikiwa CryptoTech kweli iliunda Ryuk. Kisha kikundi hicho kilijitetea na kusema kwamba kilikuwa na ushahidi kwamba walikuwa wametengeneza 100% ya ransomware.
2. Sifa
Tunaanza na bootloader, ambayo kazi yake ni kutambua mfumo uliopo ili toleo la "sahihi" la Ryuk ransomware inaweza kuzinduliwa.
Hashi ya bootloader ni kama ifuatavyo:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Moja ya vipengele vya kipakuzi hiki ni kwamba haina metadata yoyote, i.e. Waundaji wa programu hasidi hawajajumuisha maelezo yoyote ndani yake.
Wakati mwingine hujumuisha data yenye makosa ili kuhadaa mtumiaji kufikiria kuwa anaendesha programu halali. Hata hivyo, kama tutakavyoona baadaye, ikiwa maambukizi hayahusishi mwingiliano wa watumiaji (kama ilivyo kwa programu hii ya ukombozi), basi wavamizi hawaoni kuwa ni muhimu kutumia metadata.
Mchele. 6: Mfano wa Data ya Meta
Sampuli iliundwa katika umbizo la 32-bit ili iweze kufanya kazi kwenye mifumo ya 32-bit na 64-bit.
3. Vector ya kupenya
Sampuli inayopakua na kuendesha Ryuk iliingia kwenye mfumo wetu kupitia muunganisho wa mbali, na vigezo vya ufikiaji vilipatikana kupitia shambulio la awali la RDP.
Mchele. 7: Daftari la Mashambulizi
Mshambulizi alifanikiwa kuingia kwenye mfumo kwa mbali. Baada ya hapo, aliunda faili inayoweza kutekelezwa na sampuli yetu.
Faili hii inayoweza kutekelezwa ilizuiwa na suluhisho la antivirus kabla ya kuendeshwa.
Mchele. 8: Kufuli ya muundo
Mchele. 9: Kufuli ya muundo
Wakati faili hasidi ilizuiwa, mshambuliaji alijaribu kupakua toleo lililosimbwa la faili inayoweza kutekelezwa, ambalo pia lilizuiwa.
Mchele. 10: Seti ya sampuli ambazo mshambuliaji alijaribu kukimbia
Hatimaye, alijaribu kupakua faili nyingine hasidi kupitia koni iliyosimbwa
PowerShell kukwepa ulinzi wa antivirus. Lakini pia alizuiwa.
Mchele. 11: PowerShell iliyo na maudhui hasidi yamezuiwa
Mchele. 12: PowerShell iliyo na maudhui hasidi yamezuiwa
4. Kipakiaji
Inapotekeleza, huandika faili ya ReadMe kwenye folda %%, ambayo ni ya kawaida kwa Ryuk. Faili hii ni noti ya fidia iliyo na anwani ya barua pepe katika kikoa cha protonmail, ambayo ni ya kawaida sana katika familia hii ya programu hasidi: [barua pepe inalindwa]
Mchele. 13: Hitaji la Fidia
Wakati bootloader inafanya kazi, unaweza kuona kwamba inazindua faili kadhaa zinazoweza kutekelezwa na majina ya nasibu. Zimehifadhiwa kwenye folda iliyofichwa PUBLIC, lakini ikiwa chaguo haifanyi kazi katika mfumo wa uendeshaji "Onyesha faili zilizofichwa na folda", basi zitabaki zimefichwa. Zaidi ya hayo, faili hizi ni 64-bit, tofauti na faili ya mzazi, ambayo ni 32-bit.
Mchele. 14: Faili zinazoweza kutekelezwa zilizozinduliwa na sampuli
Kama unavyoona kwenye picha hapo juu, Ryuk inazindua icacls.exe, ambayo itatumika kurekebisha ACL zote (orodha za udhibiti wa Ufikiaji), hivyo basi kuhakikisha ufikiaji na urekebishaji wa bendera.
Inapata ufikiaji kamili chini ya watumiaji wote kwa faili zote kwenye kifaa (/T) bila kujali hitilafu (/C) na bila kuonyesha ujumbe wowote (/Q).
Mchele. 15: Vigezo vya utekelezaji wa icacls.exe vilivyozinduliwa na sampuli
Ni muhimu kutambua kwamba Ryuk huangalia ni toleo gani la Windows unaloendesha. Kwa hili yeye
hufanya ukaguzi wa toleo kwa kutumia GetVersionExW, ambamo hukagua thamani ya bendera lpVersionInformationikionyesha kama toleo la sasa la Windows ni jipya kuliko Windows XP.
Kulingana na ikiwa unaendesha toleo baadaye kuliko Windows XP, kipakiaji cha boot kitaandika kwa folda ya mtumiaji wa ndani - katika kesi hii kwa folda. Umma%.
Mchele. 17: Kuangalia toleo la mfumo wa uendeshaji
Faili inayoandikwa ni Ryuk. Kisha huiendesha, ikipitisha anwani yake kama kigezo.
Mchele. 18: Tekeleza Ryuk kupitia ShellExecute
Jambo la kwanza Ryuk hufanya ni kupokea vigezo vya pembejeo. Wakati huu kuna vigezo viwili vya pembejeo (inayoweza kutekelezwa yenyewe na anwani ya dropper) ambayo hutumiwa kuondoa athari zake.
Mchele. 19: Kuunda Mchakato
Unaweza pia kuona kwamba mara tu inapotekeleza utekelezwaji wake, inajifuta yenyewe, na hivyo kuacha hakuna athari ya uwepo wake kwenye folda ambayo ilitekelezwa.
Mchele. 20: Kufuta faili
5. RYUK
5.1 Uwepo
Ryuk, kama programu hasidi nyingine, hujaribu kusalia kwenye mfumo kwa muda mrefu iwezekanavyo. Kama inavyoonyeshwa hapo juu, njia moja ya kufikia lengo hili ni kuunda kwa siri na kuendesha faili zinazoweza kutekelezwa. Kwa kufanya hivyo, mazoezi ya kawaida ni kubadilisha ufunguo wa Usajili SasaVersionRun.
Katika kesi hii, unaweza kuona kwamba kwa kusudi hili faili ya kwanza itazinduliwa VWjRF.exe
(jina la faili limetolewa kwa nasibu) huzindua cmd.exe.
Mchele. 21: Utekelezaji wa VWjRF.exe
Kisha ingiza amri RUN Na jina"svchos". Kwa hivyo, ikiwa unataka kuangalia funguo za Usajili wakati wowote, unaweza kukosa mabadiliko haya kwa urahisi, kutokana na kufanana kwa jina hili na svchost. Shukrani kwa ufunguo huu, Ryuk inahakikisha uwepo wake katika mfumo. Ikiwa mfumo haujafanya hivyo. bado umeambukizwa , basi unapoanzisha upya mfumo, inayoweza kutekelezwa itajaribu tena.
Mchele. 22: Sampuli inahakikisha uwepo katika ufunguo wa usajili
Tunaweza pia kuona kwamba hii inayoweza kutekelezwa inasimamisha huduma mbili:
"audioendpointbuilder", ambayo, kama jina lake linavyopendekeza, inalingana na sauti ya mfumo,
Mchele. 23: Sampuli inasimamisha huduma ya sauti ya mfumo
ΠΈ Samss, ambayo ni huduma ya usimamizi wa akaunti. Kusimamisha huduma hizi mbili ni tabia ya Ryuk. Katika kesi hii, ikiwa mfumo umeunganishwa kwenye mfumo wa SIEM, ransomware inajaribu kuacha kutuma kwa maonyo yoyote. Kwa njia hii, analinda hatua zake zinazofuata kwani huduma zingine za SAM hazitaweza kuanza kazi yao kwa usahihi baada ya kutekeleza Ryuk.
Mchele. 24: Sampuli inasimamisha huduma ya Samss
5.2 Mapendeleo
Kwa ujumla, Ryuk huanza kwa kusonga mbele ndani ya mtandao au inazinduliwa na programu hasidi nyingine kama vile au , ambayo, katika tukio la kuongezeka kwa fursa, huhamisha haki hizi za juu kwa programu ya ukombozi.
Hapo awali, kama utangulizi wa mchakato wa utekelezaji, tunamwona akitekeleza mchakato huo Jiige, ambayo ina maana kwamba maudhui ya usalama ya tokeni ya ufikiaji yatapitishwa kwenye mkondo, ambapo itarejeshwa mara moja kwa kutumia GetCurrentThread.
Mchele. 25: Piga Simu Jiige
Kisha tunaona kwamba itahusisha ishara ya ufikiaji na uzi. Pia tunaona kwamba moja ya bendera ni DesiredAccess, ambayo inaweza kutumika kudhibiti ufikiaji ambao thread itakuwa nayo. Katika kesi hii thamani ambayo edx itapokea inapaswa kuwa TOKEN_ALL_ACESS au vinginevyo - TOKEN_WRITE.
Mchele. 26: Kutengeneza Tokeni ya Mtiririko
Kisha atatumia SeDebugPrivilege na nitapiga simu ili kupata ruhusa za Utatuzi kwenye mazungumzo, na kusababisha PROCESS_ALL_ACCESS, ataweza kufikia mchakato wowote unaohitajika. Sasa, kwa kuzingatia kwamba encryptor tayari ina mkondo ulioandaliwa, kilichobaki ni kuendelea hadi hatua ya mwisho.
Mchele. 27: Kuita SeDebugPrivilege na Kazi ya Kuongeza Upendeleo
Kwa upande mmoja, tuna LookupPrivilegeValueW, ambayo hutupatia taarifa muhimu kuhusu mapendeleo tunayotaka kuongeza.
Mchele. 28: Omba maelezo kuhusu marupurupu ya kuongezeka kwa marupurupu
Kwa upande mwingine, tuna AdjustTokenPrivileges, ambayo huturuhusu kupata haki zinazohitajika kwa mkondo wetu. Katika kesi hii, jambo muhimu zaidi ni Jimbo jipya, ambaye bendera yake itatoa marupurupu.
Mchele. 29: Kuweka ruhusa kwa ishara
5.3 Utekelezaji
Katika sehemu hii, tutaonyesha jinsi sampuli inavyotekeleza mchakato wa utekelezaji uliotajwa hapo awali katika ripoti hii.
Lengo kuu la mchakato wa utekelezaji, pamoja na kuongezeka, ni kupata ufikiaji nakala za kivuli. Ili kufanya hivyo, anahitaji kufanya kazi na thread yenye haki za juu kuliko za mtumiaji wa ndani. Mara tu inapopata haki kama hizo zilizoinuliwa, itafuta nakala na kufanya mabadiliko kwa michakato mingine ili kuifanya isiwezekane kurudi mahali pa kurejesha mapema katika mfumo wa uendeshaji.
Kama ilivyo kawaida na aina hii ya programu hasidi, hutumia CreateToolHelp32Pichakwa hivyo inachukua taswira ya michakato inayoendelea sasa na inajaribu kupata michakato hiyo kwa kutumia OpenProcess. Mara tu inapopata ufikiaji wa mchakato, pia inafungua ishara na habari yake ili kupata vigezo vya mchakato.
Mchele. 30: Kurejesha michakato kutoka kwa kompyuta
Tunaweza kuona kwa nguvu jinsi inavyopata orodha ya michakato inayoendeshwa kwa utaratibu 140002D9C kwa kutumia CreateToolhelp32Snapshot. Baada ya kuwapokea, anapitia orodha, akijaribu kufungua michakato moja kwa moja kwa kutumia OpenProcess hadi atakapofanikiwa. Katika kesi hii, mchakato wa kwanza aliweza kufungua ulikuwa "taskhost.exe".
Mchele. 31: Tekeleza Kwa Nguvu Utaratibu wa Kupata Mchakato
Tunaweza kuona kwamba baadaye inasoma habari ya ishara ya mchakato, kwa hivyo inaita OpenProcessToken na kigezo"20008"
Mchele. 32: Soma maelezo ya tokeni ya mchakato
Pia hukagua kuwa mchakato utakaodungwa sio csrss.exe, Explorer.exe, lsaas.exe au kwamba ana seti ya haki Mamlaka ya NT.
Mchele. 33: Michakato isiyojumuishwa
Tunaweza kuona jinsi inavyofanya ukaguzi kwanza kwa kutumia maelezo ya tokeni ya mchakato ndani 140002D9C ili kujua kama akaunti ambayo haki zake zinatumika kutekeleza mchakato ni akaunti MAMLAKA YA NT.
Mchele. 34: ukaguzi wa MAMLAKA YA NT
Na baadaye, nje ya utaratibu, anaangalia kwamba hii sivyo csrss.exe, explorer.exe au lsaas.exe.
Mchele. 35: ukaguzi wa MAMLAKA YA NT
Mara baada ya kuchukua picha ya taratibu, kufungua taratibu, na kuthibitisha kuwa hakuna hata mmoja wao aliyetengwa, yuko tayari kuandika kwa kumbukumbu taratibu ambazo zitadungwa.
Ili kufanya hivyo, kwanza huhifadhi eneo kwenye kumbukumbu (VirtualAllocEx), anaandika ndani yake (AndikaMchakato wa kumbukumbu) na kuunda thread (TengenezaThread ya Remote) Ili kufanya kazi na kazi hizi, hutumia PID za michakato iliyochaguliwa, ambayo ilipata hapo awali kwa kutumia CreateToolhelp32Picha.
Mchele. 36: Pachika msimbo
Hapa tunaweza kuona kwa nguvu jinsi inavyotumia mchakato wa PID kuita kazi hiyo VirtualAllocEx.
Mchele. 37: Piga simu VirtualAllocEx
5.4 Usimbaji fiche
Katika sehemu hii, tutaangalia sehemu ya usimbaji fiche ya sampuli hii. Katika picha ifuatayo unaweza kuona subroutines mbili zinazoitwa "LoadLibrary_EncodeString"na"Encode_Func", ambayo inawajibika kwa kutekeleza utaratibu wa usimbuaji.
Mchele. 38: Taratibu za usimbaji fiche
Hapo mwanzo tunaweza kuona jinsi inavyopakia mfuatano ambao baadaye utatumika kufumbua kila kitu kinachohitajika: uagizaji, DLL, amri, faili na CSP.
Mchele. 39: Mzunguko wa kueleweka kwa urahisi
Kielelezo kifuatacho kinaonyesha uagizaji wa kwanza unaoeleweka katika rejista R4. Kimsingi. Hii itatumika baadaye kupakia DLL zinazohitajika. Tunaweza pia kuona laini nyingine katika rejista ya R12, ambayo inatumika pamoja na laini iliyotangulia kufanya kurahisisha kueleweka.
Mchele. 40: Ufafanuzi wa nguvu
Inaendelea kupakua amri ambayo itaendeshwa baadaye ili kuzima hifadhi rudufu, kurejesha pointi na hali salama za kuwasha.
Mchele. 41: Kupakia amri
Kisha inapakia eneo ambalo litaacha faili 3: Windows.bat, run.sct ΠΈ anza.bat.
Mchele. 42: Maeneo ya Faili
Faili hizi 3 hutumika kuangalia haki ambazo kila eneo linazo. Ikiwa haki zinazohitajika hazipatikani, Ryuk ataacha utekelezaji.
Inaendelea kupakia mistari inayolingana na faili tatu. Kwanza, DECRYPT_INFORMATION.html, ina taarifa muhimu kurejesha faili. Pili, PUBLIC, ina ufunguo wa umma wa RSA.
Mchele. 43: Line DECRYPT INFORMATION.html
Cha tatu, UNIQUE_ID_DO_NOT_ONDOA, ina ufunguo uliosimbwa ambao utatumika katika utaratibu unaofuata kutekeleza usimbaji fiche.
Mchele. 44: Mstari wa KITAMBULISHO CHA KIPEKEE USIONDOE
Hatimaye, inapakua maktaba zinazohitajika pamoja na uagizaji unaohitajika na CSPs (Microsoft Imeboreshwa RSA ΠΈ Mtoa huduma wa AES Cryptographic).
Mchele. 45: Kupakia maktaba
Baada ya deobfuscation kukamilika, inaendelea kufanya vitendo vinavyohitajika kwa usimbaji fiche: kuorodhesha anatoa zote za mantiki, kutekeleza kile kilichopakiwa katika utaratibu uliopita, kuimarisha uwepo katika mfumo, kutupa faili ya RyukReadMe.html, usimbaji fiche, kuorodhesha anatoa zote za mtandao. , mpito kwa vifaa vilivyotambuliwa na usimbaji wao.
Yote huanza na kupakia"cmd.exe" na rekodi muhimu za umma za RSA.
Mchele. 46: Kujitayarisha kwa usimbaji fiche
Kisha hupata anatoa zote za kimantiki kwa kutumia GetLogicalDrives na huzima chelezo zote, pointi za kurejesha na hali salama za kuwasha.
Mchele. 47: Kuzima zana za kurejesha
Baada ya hayo, inaimarisha uwepo wake katika mfumo, kama tulivyoona hapo juu, na huandika faili ya kwanza RyukReadMe.html Π² Jaribio.
Mchele. 48: Kuchapisha notisi ya fidia
Katika picha ifuatayo unaweza kuona jinsi inavyounda faili, kupakua yaliyomo na kuiandika:
Mchele. 49: Kupakia na kuandika yaliyomo kwenye faili
Ili kuwa na uwezo wa kufanya vitendo sawa kwenye vifaa vyote, anatumia
"icacls.exe", kama tulivyoonyesha hapo juu.
Mchele. 50: Kwa kutumia icalcls.exe
Na hatimaye, huanza kusimba faili isipokuwa kwa "*.exe", "*.dll", faili za mfumo na maeneo mengine yaliyobainishwa katika mfumo wa orodha iliyoidhinishwa iliyosimbwa kwa njia fiche. Ili kufanya hivyo, hutumia uagizaji: CryptAcquireContextW (ambapo matumizi ya AES na RSA yamebainishwa), CryptDeriveKey, CryptGenKey, CryptDestroyKey na kadhalika. Pia inajaribu kupanua ufikiaji wake kwa vifaa vya mtandao vilivyogunduliwa kwa kutumia WNetEnumResourceW na kisha kuvisimba kwa njia fiche.
Mchele. 51: Kusimba faili za mfumo
6. Uagizaji na bendera zinazolingana
Ifuatayo ni jedwali linaloorodhesha uagizaji na bendera muhimu zaidi zinazotumiwa na sampuli:
7. IOC
marejeo
- usersPublicrun.sct
- Anza MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ripoti ya kiufundi kuhusu Ryuk ransomware ilikusanywa na wataalamu kutoka kwa maabara ya antivirus ya PandaLabs.
8. Viungo
1. βEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.βhttps://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. βUn virus de origen ruso ataca a importantes empresas espaΓ±olas.β https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. βKaratasi ya VB2019: kulipiza kisasi kwa Shinigami: mkia mrefu wa programu hasidi ya Ryuk.β https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 4/10/01.
5. βKaratasi ya VB2019: kulipiza kisasi kwa Shinigami: mkia mrefu wa programu hasidi ya Ryuk.β https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Chanzo: mapenzi.com