Ryuk so'nggi bir necha yil ichida eng mashhur ransomware variantlaridan biridir. 2018 yilning yozida birinchi marta paydo bo'lganidan beri u to'plangan
1. Umumiy ma’lumotlar
Ushbu hujjatda Ryuk ransomware variantining tahlili, shuningdek, zararli dasturni tizimga yuklash uchun mas'ul yuklovchi mavjud.
Ryuk to'lov dasturi birinchi marta 2018 yilning yozida paydo bo'lgan. Ryukning boshqa to'lov dasturlari o'rtasidagi farqlardan biri shundaki, u korporativ muhitlarga hujum qilishga qaratilgan.
2019 yil o'rtalarida kiberjinoyatchilar ushbu to'lov dasturidan foydalangan holda ko'plab ispan kompaniyalariga hujum qilishdi.
Guruch. 1: Ryuk ransomware hujumiga oid El Confidencial dan parcha [1]
Guruch. 2: Ryuk ransomware dasturi yordamida amalga oshirilgan hujum haqida El Paísdan parcha [2]
Bu yil Ryuk turli mamlakatlardagi ko'plab kompaniyalarga hujum qildi. Quyidagi raqamlarda ko‘rib turganingizdek, Germaniya, Xitoy, Jazoir va Hindiston eng ko‘p zarar ko‘rgan.
Kiberhujumlar sonini taqqoslab, biz Ryuk millionlab foydalanuvchilarga ta'sir qilganini va katta hajmdagi ma'lumotlarni buzganligini, natijada jiddiy iqtisodiy yo'qotishlarni ko'rishimiz mumkin.
Guruch. 3: Ryukning global faoliyati tasviri.
Guruch. 4: Ryukdan eng ko'p zarar ko'rgan 16 mamlakat
Guruch. 5: Ryuk ransomware tomonidan hujumga uchragan foydalanuvchilar soni (millionlab)
Bunday tahdidlarning odatiy ishlash printsipiga ko'ra, ushbu to'lov dasturi shifrlash tugallangandan so'ng jabrlanuvchiga shifrlangan fayllarga kirishni tiklash uchun belgilangan manzilga bitkoinlarda to'lanishi kerak bo'lgan to'lov xabarini ko'rsatadi.
Ushbu zararli dastur birinchi marta kiritilganidan beri o'zgargan.
Ushbu hujjatda tahlil qilingan ushbu tahdidning varianti 2020 yil yanvar oyida hujumga urinish paytida aniqlangan.
O'zining murakkabligi tufayli ushbu zararli dastur ko'pincha APT guruhlari deb ham ataladigan uyushgan kiberjinoyatchilar guruhlariga tegishli.
Ryuk kodining bir qismi boshqa taniqli to'lov dasturi Hermesning kodi va tuzilishiga sezilarli o'xshashlikka ega bo'lib, ular bir qator bir xil funktsiyalarni bajaradilar. Shuning uchun Ryuk dastlab Shimoliy Koreyaning Lazarus guruhi bilan bog'langan, o'sha paytda Hermes to'lov dasturi ortida turganlikda gumon qilingan.
Keyinchalik CrowdStrike Falcon X xizmati Ryuk aslida WIZARD SPIDER guruhi tomonidan yaratilganligini ta'kidladi [4].
Ushbu taxminni tasdiqlovchi ba'zi dalillar mavjud. Birinchidan, ushbu to'lov dasturi Rossiyaning taniqli zararli dasturlari bozori bo'lgan exploit.in veb-saytida e'lon qilingan va ilgari Rossiyaning ba'zi APT guruhlari bilan bog'langan.
Bu haqiqat Ryuk Lazarus APT guruhi tomonidan ishlab chiqilgan bo'lishi mumkin bo'lgan nazariyani istisno qiladi, chunki bu guruhning ishlash uslubiga mos kelmaydi.
Bundan tashqari, Ryuk Rossiya, Ukraina va Belarus tizimlarida ishlamaydigan to'lov dasturi sifatida e'lon qilingan. Ushbu xatti-harakat Ryukning ba'zi versiyalarida topilgan xususiyat bilan belgilanadi, u erda to'lov dasturi ishlayotgan tizim tilini tekshiradi va agar tizimda rus, ukrain yoki belarus tillari mavjud bo'lsa, uning ishlashini to'xtatadi. Nihoyat, WIZARD SPIDER jamoasi tomonidan buzilgan mashinaning ekspert tahlili Ryukni Hermes to'lov dasturining varianti sifatida ishlab chiqishda foydalanilgani aytilayotgan bir nechta "artifaktlarni" aniqladi.
Boshqa tomondan, ekspertlar Gabriela Nikolao va Lusiano Martins to'lov dasturi APT guruhi CryptoTech tomonidan ishlab chiqilgan bo'lishi mumkinligini taxmin qilishdi [5].
Bu Ryuk paydo bo'lishidan bir necha oy oldin, ushbu guruh o'sha sayt forumida Hermes to'lov dasturining yangi versiyasini ishlab chiqqani haqida ma'lumot joylashtirganidan kelib chiqadi.
Bir nechta forum foydalanuvchilari CryptoTech haqiqatan ham Ryukni yaratganmi yoki yo'qmi degan savol tug'dirdi. Keyin guruh o'zini himoya qildi va 100% to'lov dasturini ishlab chiqqanligi haqida dalillarga ega ekanligini aytdi.
2. Xususiyatlari
Biz yuklovchidan boshlaymiz, uning vazifasi Ryuk to'lov dasturining "to'g'ri" versiyasini ishga tushirish uchun u yoqilgan tizimni aniqlashdir.
Bootloader xeshi quyidagicha:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ushbu yuklab oluvchining xususiyatlaridan biri shundaki, u hech qanday metama'lumotni o'z ichiga olmaydi, ya'ni. Ushbu zararli dastur yaratuvchilari unga hech qanday ma'lumot kiritmagan.
Ba'zan ular foydalanuvchini qonuniy dastur bilan ishlayotgan deb o'ylash uchun aldash uchun noto'g'ri ma'lumotlarni o'z ichiga oladi. Biroq, keyinroq ko'rib chiqamiz, agar infektsiya foydalanuvchilarning o'zaro ta'sirini o'z ichiga olmasa (bu to'lov dasturida bo'lgani kabi), tajovuzkorlar metama'lumotlardan foydalanishni zarur deb hisoblamaydilar.
Guruch. 6: Meta-ma'lumotlar namunasi
Namuna 32 bitli formatda tuzilgan bo'lib, u 32 bitli va 64 bitli tizimlarda ishlashi mumkin.
3. Penetratsiya vektori
Ryukni yuklab oladigan va ishga tushiradigan namuna bizning tizimimizga masofaviy ulanish orqali kirdi va kirish parametrlari dastlabki RDP hujumi orqali olindi.
Guruch. 7: Hujumlarni ro'yxatga olish
Buzg'unchi tizimga masofadan kirishga muvaffaq bo'ldi. Shundan so'ng, u bizning namunamiz bilan bajariladigan faylni yaratdi.
Ushbu bajariladigan fayl ishga tushirishdan oldin antivirus yechimi tomonidan bloklangan.
Guruch. 8: Naqshli qulf
Guruch. 9: Naqshli qulf
Zararli fayl bloklanganda, tajovuzkor bajariladigan faylning shifrlangan versiyasini yuklab olishga uringan, u ham bloklangan.
Guruch. 10: Buzg'unchi ishga tushirishga uringan namunalar to'plami
Nihoyat, u shifrlangan konsol orqali boshqa zararli faylni yuklab olishga harakat qildi
Antivirus himoyasini chetlab o'tish uchun PowerShell. Ammo u ham bloklangan.
Guruch. 11: Zararli kontentga ega PowerShell bloklandi
Guruch. 12: Zararli kontentga ega PowerShell bloklandi
4. Yuklagich
U bajarilganda, u papkaga ReadMe faylini yozadi % temp%, bu Ryuk uchun xosdir. Ushbu fayl protonmail domenidagi elektron pochta manzilini o'z ichiga olgan to'lov eslatmasi bo'lib, bu zararli dasturlar oilasida keng tarqalgan: [elektron pochta bilan himoyalangan]
Guruch. 13: To'lov talabi
Yuklash moslamasi ishlayotganda, u tasodifiy nomlar bilan bir nechta bajariladigan fayllarni ishga tushirishini ko'rishingiz mumkin. Ular yashirin papkada saqlanadi Umumiy, lekin agar parametr operatsion tizimda faol bo'lmasa "Yashirin fayl va papkalarni ko'rsatish", keyin ular yashirin qoladi. Bundan tashqari, bu fayllar 64 bitli asosiy fayldan farqli o'laroq, 32 bitli.
Guruch. 14: Namuna tomonidan ishga tushiriladigan bajariladigan fayllar
Yuqoridagi rasmda ko'rib turganingizdek, Ryuk icacls.exe-ni ishga tushiradi, u barcha ACL-larni (Kirishni boshqarish ro'yxatlarini) o'zgartirish uchun ishlatiladi, shu bilan bayroqlarga kirish va o'zgartirishni ta'minlaydi.
U barcha foydalanuvchilar ostida xatoliklardan (/C) va hech qanday xabarlarni ko'rsatmasdan (/Q) qurilmadagi barcha fayllarga (/T) to'liq kirish huquqiga ega bo'ladi.
Guruch. 15: Namuna tomonidan ishga tushirilgan icacls.exe ning bajarilish parametrlari
Shuni ta'kidlash kerakki, Ryuk qaysi Windows versiyasini ishlatayotganingizni tekshiradi. Buning uchun u
yordamida versiya tekshiruvini amalga oshiradi GetVersionExW, unda u bayroqning qiymatini tekshiradi lpVersionInformationWindowsning joriy versiyasidan yangiroq ekanligini ko'rsatadi Windows XP.
Windows XP-dan keyingi versiyani ishlatayotganingizga qarab, yuklash moslamasi mahalliy foydalanuvchi papkasiga yozadi - bu holda papkaga %Ommaviy%.
Guruch. 17: Operatsion tizim versiyasini tekshirish
Yozilayotgan fayl Ryuk. Keyin u o'z manzilini parametr sifatida uzatib, uni ishga tushiradi.
Guruch. 18: Ryukni ShellExecute orqali bajaring
Ryuk qiladigan birinchi narsa - kirish parametrlarini olish. Bu safar ikkita kirish parametri (bajariladigan faylning o'zi va tomchi manzili) mavjud bo'lib, ular o'z izlarini olib tashlash uchun ishlatiladi.
Guruch. 19: Jarayonni yaratish
Bundan tashqari, u o'zining bajariladigan fayllarini ishga tushirgandan so'ng, o'zini o'chirib tashlashini ko'rishingiz mumkin, shuning uchun u bajarilgan papkada o'zining mavjudligi haqida hech qanday iz qoldirmaydi.
Guruch. 20: Faylni o'chirish
5. RYUK
5.1 Mavjudligi
Ryuk, boshqa zararli dasturlar kabi, tizimda imkon qadar uzoq vaqt qolishga harakat qiladi. Yuqorida ko'rsatilganidek, bu maqsadga erishishning bir yo'li yashirin ravishda bajariladigan fayllarni yaratish va ishga tushirishdir. Buning uchun eng keng tarqalgan amaliyot ro'yxatga olish kitobi kalitini o'zgartirishdir CurrentVersionRun.
Bunday holda, bu maqsadda birinchi fayl ishga tushirilishini ko'rishingiz mumkin VWjRF.exe
(fayl nomi tasodifiy yaratilgan) ishga tushiriladi cmd.exe.
Guruch. 21: VWjRF.exe ishga tushirilmoqda
Keyin buyruqni kiriting RUN Nomi bilan"svchos". Shunday qilib, agar siz istalgan vaqtda ro'yxatga olish kitobi kalitlarini tekshirmoqchi bo'lsangiz, ushbu nomning svchost bilan o'xshashligini hisobga olgan holda, ushbu o'zgarishni osongina o'tkazib yuborishingiz mumkin. Ushbu kalit tufayli Ryuk uning tizimda mavjudligini ta'minlaydi. Agar tizimda yo'q bo'lsa. hali infektsiyalangan bo'lsa, tizimni qayta ishga tushirganingizda, bajariladigan fayl yana urinib ko'radi.
Guruch. 22: Namuna ro'yxatga olish kitobi kalitida mavjudligini ta'minlaydi
Bundan tashqari, ushbu bajariladigan fayl ikkita xizmatni to'xtatganini ko'rishimiz mumkin:
"audioendpointbuilder", uning nomidan ko'rinib turibdiki, tizim audiosiga mos keladi,
Guruch. 23: Namuna tizim audio xizmatini to'xtatadi
и Samss, bu hisobni boshqarish xizmati. Ushbu ikki xizmatni to'xtatish - Ryukning o'ziga xos xususiyati. Bunday holda, agar tizim SIEM tizimiga ulangan bo'lsa, to'lov dasturi yuborishni to'xtatishga harakat qiladi.
Guruch. 24: Namuna Samss xizmatini to'xtatadi
5.2 Imtiyozlar
Umuman olganda, Ryuk tarmoq ichida lateral harakatlanishdan boshlanadi yoki u boshqa zararli dastur tomonidan ishga tushiriladi, masalan.
Oldindan, amalga oshirish jarayonining debochasi sifatida biz uning jarayonni amalga oshirayotganini ko'ramiz O'zini ko'rsatish, ya'ni kirish tokenining xavfsizlik mazmuni oqimga uzatiladi va u erdan foydalanib darhol olinadi. GetCurrentThread.
Guruch. 25: ImpersonateSelf ga qo'ng'iroq qiling
Keyin biz kirish tokenini ip bilan bog'lashini ko'ramiz. Biz bayroqlardan biri ekanligini ham ko'ramiz Desired Access, bu ipga ega bo'ladigan kirishni boshqarish uchun ishlatilishi mumkin. Bu holda edx oladigan qiymat bo'lishi kerak TOKEN_ALL_ACESS yoki boshqacha - TOKEN_YOZISH.
Guruch. 26: Oqim tokenini yaratish
Keyin u foydalanadi SeDebugPrivilege va mavzu bo'yicha disk raskadrovka ruxsatlarini olish uchun qo'ng'iroq qiladi, natijada PROCESS_ALL_ACCESS, u har qanday talab qilinadigan jarayonga kirish imkoniyatiga ega bo'ladi. Endi, shifrlovchi allaqachon tayyorlangan oqimga ega ekanligini hisobga olsak, oxirgi bosqichga o'tish qoladi.
Guruch. 27: SeDebugPrivilege va Privilege Escalation funksiyasini chaqirish
Bir tomondan, bizda LookupPrivilegeValueW mavjud bo'lib, u bizga oshirmoqchi bo'lgan imtiyozlar haqida kerakli ma'lumotlarni taqdim etadi.
Guruch. 28: Imtiyozlarni oshirish uchun imtiyozlar haqida ma'lumot so'rash
Boshqa tomondan, bizda bor AdjustTokenPrivileges, bu bizga oqimimizga kerakli huquqlarni olish imkonini beradi. Bu holatda, eng muhimi Yangi davlat, kimning bayrog'i imtiyozlar beradi.
Guruch. 29: Token uchun ruxsatlarni sozlash
5.3 Amalga oshirish
Ushbu bo'limda biz namuna ushbu hisobotda ilgari aytib o'tilgan amalga oshirish jarayonini qanday amalga oshirishini ko'rsatamiz.
Amalga oshirish jarayonining asosiy maqsadi, shuningdek, kuchayishi, kirish huquqiga ega bo'lishdir soya nusxalari. Buning uchun u mahalliy foydalanuvchinikidan yuqori huquqlarga ega bo'lgan ip bilan ishlashi kerak. Bunday yuqori huquqlarni qo'lga kiritgandan so'ng, u nusxalarni o'chiradi va operatsion tizimdagi oldingi tiklash nuqtasiga qaytishni imkonsiz qilish uchun boshqa jarayonlarga o'zgartirishlar kiritadi.
Ushbu turdagi zararli dasturlarga xos bo'lganidek, u foydalanadi CreateToolHelp32 Snapshotshuning uchun u hozirda ishlayotgan jarayonlarning suratini oladi va ushbu jarayonlardan foydalanib kirishga harakat qiladi OpenProcess. Jarayonga kirish huquqiga ega bo'lgach, u jarayon parametrlarini olish uchun o'z ma'lumotlari bilan tokenni ham ochadi.
Guruch. 30: Kompyuterdan jarayonlarni olish
CreateToolhelp140002Snapshot yordamida 9D32C rejimida ishlaydigan jarayonlar ro'yxatini qanday olishini dinamik ravishda ko'rishimiz mumkin. Ularni qabul qilgandan so'ng, u ro'yxatni ko'zdan kechiradi va muvaffaqiyatga erishmaguncha OpenProcess yordamida jarayonlarni birma-bir ochishga harakat qiladi. Bu holatda, u ochishga muvaffaq bo'lgan birinchi jarayon edi "taskhost.exe".
Guruch. 31: Jarayonni olish uchun protsedurani dinamik ravishda bajarish
Biz ko'rishimiz mumkinki, u keyinchalik jarayon token ma'lumotlarini o'qiydi, shuning uchun u qo'ng'iroq qiladi OpenProcessToken parametr bilan "20008"
Guruch. 32: Jarayon tokeni ma'lumotlarini o'qing
Shuningdek, u in'ektsiya qilinadigan jarayon emasligini tekshiradi csrss.exe, explorer.exe, lsaas.exe yoki u bir qator huquqlarga ega NT vakolati.
Guruch. 33: Cheklangan jarayonlar
dagi jarayon tokeni ma'lumotlari yordamida tekshirishni birinchi marta qanday bajarishini dinamik ravishda ko'rishimiz mumkin 140002D9C jarayonni amalga oshirish uchun huquqlaridan foydalanilayotgan hisob qaydnomasi ekanligini aniqlash uchun NT HAVOLIYATI.
Guruch. 34: NT AUTORITY tekshiruvi
Va keyinroq, protseduradan tashqari, u bunday emasligini tekshiradi csrss.exe, explorer.exe yoki lsaas.exe.
Guruch. 35: NT AUTORITY tekshiruvi
U jarayonlarning suratini olib, jarayonlarni ochgan va ularning hech biri istisno qilinmaganligini tekshirgandan so'ng, u AOK qilinadigan jarayonlarni xotiraga yozishga tayyor.
Buni amalga oshirish uchun u avval xotiradagi maydonni saqlab qoladi (VirtualAllocEx), unga yozadi (WriteProcessmemory) va ip hosil qiladi (RemoteThread yarating). Ushbu funksiyalar bilan ishlash uchun u ilgari olingan tanlangan jarayonlarning PID-laridan foydalanadi CreateToolhelp32 Snapshot.
Guruch. 36: Kodni joylashtirish
Bu erda biz funktsiyani chaqirish uchun PID jarayonidan qanday foydalanishini dinamik ravishda kuzatishimiz mumkin VirtualAllocEx.
Guruch. 37: VirtualAllocEx ga qo'ng'iroq qiling
5.4 Shifrlash
Ushbu bo'limda biz ushbu namunaning shifrlash qismini ko'rib chiqamiz. Quyidagi rasmda siz ikkita kichik dasturni ko'rishingiz mumkin "LoadLibrary_EncodeString"i"Encode_Func", shifrlash jarayonini bajarish uchun mas'ul bo'lganlar.
Guruch. 38: Shifrlash protseduralari
Boshida biz u satrni qanday yuklashini ko'rishimiz mumkin, keyinchalik u barcha kerakli narsalarni: import, DLL, buyruqlar, fayllar va CSPlarni o'chirish uchun ishlatiladi.
Guruch. 39: Deobfuscation sxemasi
Quyidagi rasmda R4 registrida o'chirilgan birinchi import ko'rsatilgan. Yuklab olish kutubxonasi. Bu keyinchalik kerakli DLL-larni yuklash uchun ishlatiladi. Bundan tashqari, biz R12 registridagi boshqa qatorni ham ko'rishimiz mumkin, u oldingi chiziq bilan birga deobfuscationni amalga oshirish uchun ishlatiladi.
Guruch. 40: Dinamik deobfusatsiya
Zaxira nusxalarini, tiklash nuqtalarini va xavfsiz yuklash rejimlarini o'chirish uchun keyinchalik ishga tushadigan buyruqlarni yuklab olishni davom ettiradi.
Guruch. 41: buyruqlar yuklanmoqda
Keyin u 3 ta faylni tushiradigan joyni yuklaydi: Windows.bat, run.sct и start.bat.
Guruch. 42: Fayl joylashuvi
Ushbu 3 fayl har bir joylashuvga ega bo'lgan imtiyozlarni tekshirish uchun ishlatiladi. Agar kerakli imtiyozlar mavjud bo'lmasa, Ryuk ijroni to'xtatadi.
U uchta faylga mos keladigan qatorlarni yuklashni davom ettiradi. Birinchidan, DECRYPT_INFORMATION.html, fayllarni tiklash uchun zarur bo'lgan ma'lumotlarni o'z ichiga oladi. Ikkinchi, Umumiy, RSA umumiy kalitini o'z ichiga oladi.
Guruch. 43: DECRYPT INFORMATION.html qatori
Uchinchidan, UNIKA_ID_O'CHIRILMAYDI, shifrlashni amalga oshirish uchun keyingi rejimda ishlatiladigan shifrlangan kalitni o'z ichiga oladi.
Guruch. 44: Qator NONIQUE ID KECHMAGAN
Nihoyat, u kerakli import va CSPlar bilan birga kerakli kutubxonalarni yuklab oladi (Microsoft takomillashtirilgan RSA и AES kriptografik provayderi).
Guruch. 45: Kutubxonalar yuklanmoqda
Barcha deobfuscation tugallangandan so'ng, u shifrlash uchun zarur bo'lgan amallarni bajarishga kirishadi: barcha mantiqiy drayverlarni sanash, oldingi rejimda yuklangan narsalarni bajarish, tizimda mavjudligini kuchaytirish, RyukReadMe.html faylini o'chirish, shifrlash, barcha tarmoq drayverlarini sanash. , aniqlangan qurilmalarga o'tish va ularni shifrlash.
Hammasi yuklashdan boshlanadi"cmd.exe" va RSA ochiq kalit yozuvlari.
Guruch. 46: Shifrlashga tayyorgarlik
Keyin u barcha mantiqiy drayverlarni ishlatadi GetLogicalDrives va barcha zaxira nusxalarini, tiklash nuqtalarini va xavfsiz yuklash rejimlarini o'chiradi.
Guruch. 47: Qayta tiklash vositalarini o'chirish
Shundan so'ng, u yuqorida ko'rganimizdek, tizimdagi mavjudligini kuchaytiradi va birinchi faylni yozadi RyukReadMe.html в Temp.
Guruch. 48: To'lov haqidagi xabarni nashr qilish
Quyidagi rasmda uning faylni qanday yaratishi, kontentni yuklab olishi va yozishini ko'rishingiz mumkin:
Guruch. 49: Fayl mazmunini yuklash va yozish
Barcha qurilmalarda bir xil amallarni bajarish imkoniyatiga ega bo'lish uchun u foydalanadi
"icacls.exe", biz yuqorida ko'rsatganimizdek.
Guruch. 50: icalcls.exe dan foydalanish
Va nihoyat, "*.exe", "*.dll" fayllari, tizim fayllari va shifrlangan oq ro'yxat shaklida ko'rsatilgan boshqa joylardan tashqari fayllarni shifrlashni boshlaydi. Buning uchun u importdan foydalanadi: CryptAcquireContextW (AES va RSA dan foydalanish belgilangan bo'lsa), CryptDeriveKey, CryptGenKey, CryptDestroyKey va hokazo. U, shuningdek, WNetEnumResourceW yordamida topilgan tarmoq qurilmalariga kirishni kengaytirishga va keyin ularni shifrlashga harakat qiladi.
Guruch. 51: Tizim fayllarini shifrlash
6. Import va tegishli bayroqlar
Quyida namuna tomonidan ishlatiladigan eng mos import va bayroqlar ro'yxati keltirilgan jadval:
7. XOQ
Manbalar
- usersPublicrun.sct
- Boshlash menyusiDasturlarStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomware haqida texnik hisobot PandaLabs antivirus laboratoriyasi mutaxassislari tomonidan tuzilgan.
8. Havolalar
1. “Everis y Prisa Radiosi xavfsiz tizimlardan foydalanmaydi.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas ispanolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 qog‘ozi: Shinigami qasosi: Ryuk zararli dasturining uzun dumi.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Ryuk bilan katta oʻyin ovi: Yana bir daromadli maqsadli toʻlov dasturi.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 qog‘ozi: Shinigami qasosi: Ryuk zararli dasturining uzun dumi.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Manba: www.habr.com