Ryuk - so'nggi bir necha yil ichida eng mashhur to'lov dasturi variantlaridan biri. 2018 yilning yozida birinchi marta paydo bo'lganidan beri u to'plangan , ayniqsa, uning hujumlarining asosiy nishoni bo'lgan biznes muhitida.
1. Umumiy ma’lumotlar
Ushbu hujjatda Ryuk ransomware variantining tahlili, shuningdek, zararli dasturni tizimga yuklash uchun mas'ul yuklovchi mavjud.
Ryuk ransomware birinchi marta 2018 yilning yozida paydo bo'lgan. Ryukning boshqa to'lov dasturidan farqi shundaki, u korporativ muhitlarga hujum qilishga qaratilgan.
2019-yil o‘rtalarida kiberjinoyatchilar ushbu to‘lov dasturidan foydalangan holda ko‘plab ispan kompaniyalariga hujum qilishdi.
1-rasm: Ryuk ransomware hujumiga oid El Confidencial dan parcha [1]
2-rasm: Ryuk ransomware dasturi yordamida amalga oshirilgan hujum haqida El Paísdan parcha [2]
Bu yil Ryuk turli mamlakatlardagi ko'plab kompaniyalarga hujum qildi. Quyidagi raqamlardan ko‘rinib turibdiki, Germaniya, Xitoy, Jazoir va Hindiston eng ko‘p zarar ko‘rgan.
Kiberhujumlar sonini solishtiradigan bo'lsak, Ryuk millionlab foydalanuvchilarga ta'sir qilganini va katta miqdordagi ma'lumotlarni buzganligini, natijada jiddiy iqtisodiy zarar etkazganini ko'rishimiz mumkin.
3-rasm: Ryukning global faoliyati tasviri.
4-rasm: Ryukdan eng ko'p zarar ko'rgan 16 ta davlat
5-rasm: Ryuk ransomware tomonidan hujumga uchragan foydalanuvchilar soni (millionlab)
Bunday tahdidlar uchun odatiy hol bo'lganidek, shifrlash tugallangandan so'ng, to'lov dasturi jabrlanuvchiga to'lov eslatmasini ko'rsatadi, u shifrlangan fayllarga kirishni tiklash uchun belgilangan manzilga Bitcoin-da to'lanishi kerak.
Ushbu zararli dastur paydo bo'lganidan beri o'zgargan.
Ushbu maqolada tahlil qilingan ushbu tahdidning varianti 2020 yil yanvar oyida hujumga urinish paytida aniqlangan.
Murakkabligi tufayli ushbu zararli dastur ko'pincha APT guruhlari sifatida ham tanilgan uyushgan kiberjinoyat guruhlariga tegishli.
Ryukning ba'zi kodlari boshqa taniqli to'lov dasturlari Hermes dasturining kodi va tuzilishiga sezilarli o'xshashliklarga ega bo'lib, u bir qator funktsiyalarni bajaradi. Shuning uchun Ryuk dastlab Shimoliy Koreyaning Lazarus guruhiga aloqador bo'lib, o'sha paytda Hermes to'lov dasturi ortida turganlikda gumon qilingan.
Keyinchalik CrowdStrike Falcon X xizmati Ryuk aslida WIZARD SPIDER guruhi tomonidan yaratilganligini ta'kidladi [4].
Bu taxminni tasdiqlovchi bir qancha dalillar mavjud. Birinchidan, ushbu to'lov dasturi ilgari Rossiyaning bir nechta APT guruhlari bilan bog'liq bo'lgan taniqli rus zararli dasturlari bozori exploit.in veb-saytida e'lon qilingan.
Bu fakt Ryukni APT guruhi Lazarus tomonidan ishlab chiqilgan bo'lishi mumkinligi haqidagi nazariyani rad etadi, chunki u guruhning ishlash uslubiga mos kelmaydi.
Bundan tashqari, Ryuk Rossiya, Ukraina yoki Belarus tizimlarida ishlamaydigan to'lov dasturi sifatida e'lon qilingan. Bunday xatti-harakat Ryuk-ning ba'zi versiyalarida topilgan, to'lov dasturi bilan ishlaydigan tizim tilini tekshiradigan va agar tizim rus, ukrain yoki belarus tillarida ishlayotgan bo'lsa, uni to'xtatadigan funksiya tufayli yuzaga keladi. Nihoyat, WIZARD SPIDER guruhi tomonidan buzilgan mashinaning ekspert tahlili Ryukni ishlab chiqishda Hermes ransomware varianti sifatida foydalanilgani taxmin qilingan bir nechta “artifaktlar”ni aniqladi.
Boshqa tomondan, ekspertlar Gabriela Nikolao va Lusiano Martins to'lov dasturi APT guruhi CryptoTech tomonidan ishlab chiqilgan bo'lishi mumkinligini taxmin qilishdi [5].
Bu Ryuk paydo bo'lishidan bir necha oy oldin, ushbu guruh o'sha sayt forumida Hermes to'lov dasturining yangi versiyasini ishlab chiqqanligini e'lon qilganidan kelib chiqadi.
Bir nechta forum foydalanuvchilari CryptoTech haqiqatan ham Ryukni yaratganmi yoki yo'qligini so'rashdi. Keyinchalik guruh o'zini himoya qildi va to'lov dasturining 100 foizini ishlab chiqqanligini tasdiqlovchi dalillarga ega ekanligini da'vo qildi.
2. Xususiyatlari
Biz yuklovchidan boshlaymiz, uning vazifasi Ryuk to'lov dasturining "to'g'ri" versiyasini ishga tushirish uchun u yoqilgan tizimni aniqlashdir.
Bootloader xeshi quyidagicha:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ushbu yuklab oluvchining o'ziga xos xususiyatlaridan biri shundaki, u hech qanday metama'lumotni o'z ichiga olmaydi, ya'ni ushbu zararli dasturni yaratuvchilar unda hech qanday ma'lumotni o'z ichiga olmagan.
Ba'zan ular foydalanuvchini qonuniy dasturni ishga tushirmoqda deb o'ylash uchun aldash uchun noto'g'ri ma'lumotlarni o'z ichiga oladi. Biroq, keyinroq ko'rib chiqamiz, agar infektsiya foydalanuvchining o'zaro ta'sirini talab qilmasa (bu to'lov dasturida bo'lgani kabi), tajovuzkorlar metama'lumotlardan foydalanishni zarur deb hisoblamaydilar.
6-rasm: Metadata namunasi
Namuna ham 32-bit, ham 64-bitli tizimlarda ishlashi uchun 32-bit formatda tuzilgan.
3. Penetratsiya vektori
Ryukni yuklab oladigan va boshqaradigan namuna tizimimizga masofaviy ulanish orqali kirdi va hisob ma'lumotlari dastlabki RDP hujumi orqali olindi.
7-rasm: Hujum reestri
Buzg'unchi tizimga masofadan kirishga muvaffaq bo'ldi. Keyin ular bizning namunamizni o'z ichiga olgan bajariladigan faylni yaratdilar.
Ushbu bajariladigan fayl ishga tushirishdan oldin antivirus yechimi tomonidan bloklangan.
8-rasm: Namuna blokirovkasi
9-rasm: Namuna blokirovkasi
Zararli fayl qulflangandan so'ng, tajovuzkor bajariladigan faylning shifrlangan versiyasini yuklab olishga harakat qildi, u ham qulflangan.
10-rasm: Buzg'unchi ishga tushirishga uringan namunalar to'plami
Nihoyat, u shifrlangan konsol orqali boshqa zararli faylni yuklab olishga harakat qildi.
PowerShell antivirus himoyasini chetlab o'tish uchun ishlatilgan. Ammo u ham bloklandi.
11-rasm: Zararli kontentga ega PowerShell bloklangan
12-rasm: Zararli kontentga ega PowerShell bloklangan
4. Yuklagich
U ishga tushganda, u papkaga ReadMe faylini yozadi % temp%, bu Ryukga xosdir. Ushbu fayl protonmail domenidagi elektron pochta manzilini o'z ichiga olgan to'lov eslatmasi bo'lib, bu zararli dasturlar oilasida keng tarqalgan: msifelabem1981@protonmail.com
13-rasm: To'lov talabi
Yuklab oluvchi ishlayotganda, u tasodifiy nomlar bilan bir nechta bajariladigan fayllarni ishga tushirishini sezishingiz mumkin. Ular yashirin papkada saqlanadi. Umumiy, lekin agar parametr operatsion tizimda faol bo'lmasa Yashirin fayllar va papkalarni ko'rsatish, ular yashirin qoladi. Bundan tashqari, bu fayllar 32 bitli asosiy fayldan farqli o'laroq 64 bitli.
14-rasm: Namuna tomonidan ishga tushiriladigan bajariladigan fayllar
Yuqoridagi rasmda ko'rib turganingizdek, Ryuk barcha ACL'larni (Kirishni boshqarish ro'yxatlarini) o'zgartirish uchun ishlatiladigan icacls.exe faylini ishga tushiradi, shu bilan kirish va bayroq o'zgarishlarini ta'minlaydi.
U barcha foydalanuvchilar uchun qurilmadagi barcha fayllarga (/T), xatolardan (/C) qat'iy nazar va hech qanday xabarlarni (/Q) ko'rsatmasdan to'liq kirish huquqini oladi.
15-rasm: Namuna tomonidan ishga tushirilgan icacls.exe ning bajarilish parametrlari
Shuni ta'kidlash kerakki, Ryuk Windows-ning qaysi versiyasi ishlayotganini tekshiradi. Buning uchun, bu
yordamida versiya tekshiruvini amalga oshiradi GetVersionExW, unda u bayroqning qiymatini tekshiradi lpVersionInformation, Windowsning joriy versiyasidan kechroq ekanligini ko'rsatadi Windows XP.
Windows XP dan keyingi versiyani ishga tushirayotganingizga qarab, yuklovchi mahalliy foydalanuvchi papkasiga yozadi - bu holda, papka %Ommaviy%.
17-rasm: Operatsion tizim versiyasini tekshirish
Yozilayotgan fayl Ryuk. Keyin u o'z manzilini parametr sifatida uzatib, uni ishga tushiradi.
18-rasm: Ryukni ShellExecute orqali bajarish
Ryuk qiladigan birinchi narsa - kirish parametrlarini olish. Bu safar ikkita kirish parametri (bajariladigan faylning o'zi va tomchi manzili) mavjud bo'lib, ular o'z izlarini olib tashlash uchun ishlatiladi.
19-rasm: Jarayonni yaratish
Bundan tashqari, u o'zining bajariladigan fayllarini ishga tushirgandan so'ng, o'zini o'chirib tashlashini ko'rishingiz mumkin, shuning uchun u bajarilgan papkada uning mavjudligi haqida hech qanday iz qoldirmaydi.
20-rasm: Faylni o'chirish
5. RYUK
5.1 Mavjudligi
Ryuk, boshqa zararli dasturlar kabi, tizimda imkon qadar uzoq vaqt qolishga harakat qiladi. Yuqorida ko'rsatilganidek, bunga erishishning bir yo'li yashirincha bajariladigan fayllarni yaratish va ishga tushirishdir. Buning eng keng tarqalgan usuli - ro'yxatga olish kitobi kalitini o'zgartirish. CurrentVersionRun.
Bunday holda, bu maqsadda bajariladigan birinchi fayl ekanligini ko'rishingiz mumkin VWjRF.exe
(fayl nomi tasodifiy yaratilgan) ishga tushiriladi cmd.exe.
21-rasm: VWjRF.exe faylini bajarish
Keyin buyruq kiritiladi RUN nomi bilan"svchos". Shuning uchun, agar siz istalgan vaqtda ro'yxatga olish kitobi kalitlarini tekshirsangiz, bu nomning svchost bilan o'xshashligini hisobga olgan holda, bu o'zgarishni osongina o'tkazib yuborishingiz mumkin. Ryuk tizimda mavjudligini ta'minlash uchun ushbu kalitdan foydalanadi. Agar tizim hali virusga kirmagan bo'lsa, qayta ishga tushirilganda bajariladigan fayl qayta urinib ko'radi.
22-rasm: Namuna ro'yxatga olish kitobi kalitida mavjudligini ta'minlaydi
Bundan tashqari, ushbu bajariladigan fayl ikkita xizmatni to'xtatganini ko'rishimiz mumkin:
"audioendpointbuilder", uning nomidan ko'rinib turibdiki, tizim audiosiga mos keladi,
23-rasm: Namuna tizim audio xizmatini to'xtatadi
и samss, bu hisobni boshqarish xizmati. Ushbu ikki xizmatni to'xtatish - Ryukning o'ziga xos xususiyati. Bunday holda, agar tizim SIEM tizimiga ulangan bo'lsa, to'lov dasturi yuborishni to'xtatishga harakat qiladi. Hech qanday ogohlantirish berilmaydi. Bu uning keyingi qadamlarini himoya qiladi, chunki Ryuk bajarilgandan so'ng ba'zi SAM xizmatlari to'g'ri ishga tusha olmaydi.
24-rasm: Namuna Samss xizmatini to'xtatadi
5.2 Imtiyozlar
Umuman olganda, Ryuk tarmoq ichida lateral harakatlanishdan boshlanadi yoki u boshqa zararli dastur tomonidan ishga tushiriladi, masalan. yoki , bu imtiyozlar kuchaygan taqdirda, ushbu yuqori huquqlarni to'lov dasturiga o'tkazadi.
Oldindan, amalga oshirish jarayonining debochasi sifatida biz uni jarayonni amalga oshirayotganini ko'ramiz O'zini ko'rsatish, ya'ni kirish tokenining xavfsizlik mazmuni oqimga uzatiladi va u erdan darhol olinadi. GetCurrentThread.
25-rasm: ImpersonateSelfni chaqirish
Keyin biz kirish tokenini oqim bilan bog'lashini ko'ramiz. Biz bayroqlardan biri ekanligini ham ko'ramiz Desired Access, bu ipga ega bo'ladigan kirishni boshqarish uchun ishlatilishi mumkin. Bunday holda, edx oladigan qiymat bo'lishi kerak TOKEN_ALL_ACESS yoki boshqacha - TOKEN_YOZISH.
Guruch. 26: Oqim tokenini yaratish
Keyin u foydalanadi SeDebugPrivilege va mavzu bo'yicha disk raskadrovka ruxsatlarini olish uchun qo'ng'iroq qiladi, buning natijasida belgilash orqali PROCESS_ALL_ACCESS, u har qanday talab qilinadigan jarayonga kirish imkoniyatiga ega bo'ladi. Endi, ransomware allaqachon tayyorlangan oqimga ega ekanligini hisobga olsak, oxirgi bosqichga o'tish qoladi.
27-rasm: SeDebugPrivilege chaqiruvi va imtiyozlarni oshirish funksiyasi
Bir tomondan, bizda LookupPrivilegeValueW mavjud bo'lib, u bizga oshirishni istagan imtiyozlar haqida kerakli ma'lumotlarni taqdim etadi.
28-rasm: Imtiyozlarni oshirish uchun ma'lumot so'rash
Boshqa tomondan, bizda bor AdjustTokenPrivileges, bu bizga oqimimizga kerakli huquqlarni olish imkonini beradi. Bu holatda, eng muhimi Yangi shtat, kimning bayrog'i imtiyozlar beradi.
29-rasm: Token ruxsatlarini sozlash
5.3 Amalga oshirish
Ushbu bo'limda biz namuna ushbu hisobotda ilgari aytib o'tilgan amalga oshirish jarayonini qanday amalga oshirishini ko'rsatamiz.
Amalga oshirish jarayonining asosiy maqsadi, shuningdek, kuchayishi, kirish huquqiga ega bo'lishdir soya nusxalariBuning uchun u mahalliy foydalanuvchidan yuqori imtiyozlarga ega bo'lgan ish zarrachasida ishlashi kerak. Ushbu ko'tarilgan imtiyozlarni qo'lga kiritgandan so'ng, u nusxalarni o'chiradi va boshqa jarayonlarni o'zgartirib, operatsion tizimdagi oldingi tiklash nuqtasiga qaytishni imkonsiz qiladi.
Ushbu turdagi zararli dasturlarga xos bo'lganidek, u in'ektsiyani amalga oshirish uchun foydali yukdan foydalanadi. CreateToolHelp32 Snapshot, shuning uchun u hozirda ishlayotgan jarayonlarning suratini oladi va ushbu jarayonlardan foydalanib kirishga harakat qiladi OpenProcessJarayonga kirish huquqiga ega bo'lgach, u jarayon parametrlarini olish uchun o'z ma'lumotlari bilan tokenni ham ochadi.
30-rasm: Kompyuterdan jarayonlarni olish
CreateToolhelp32Snapshot yordamida 140002D9C quyi dasturida ishlaydigan jarayonlar ro'yxatini dinamik ravishda qanday olishini ko'rishimiz mumkin. Ularni olgandan so'ng, u ro'yxat bo'ylab takrorlanadi va muvaffaqiyatli bo'lgunga qadar OpenProcess yordamida har bir jarayonni birma-bir ochishga harakat qiladi. Bu holda, u ochishga muvaffaq bo'lgan birinchi jarayon edi taskhost.exe.
31-rasm: Jarayonni olish uchun protseduraning dinamik bajarilishi
Biz ko'rishimiz mumkinki, u keyinchalik jarayon token ma'lumotlarini o'qiydi, shuning uchun u qo'ng'iroq qiladi OpenProcessToken parametr bilan "20008"
32-rasm: Token ma'lumotlarini o'qish jarayoni
Shuningdek, u amalga oshiriladigan jarayon yo'qligini tekshiradi csrss.exe, explorer.exe, lsaas.exe yoki uning bir qator huquqlarga ega ekanligi NT vakolati.
33-rasm: Chiqarilgan jarayonlar
Bu jarayon tokeni ma'lumotlaridan foydalangan holda birinchi marta tekshirishni qanday amalga oshirishini dinamik ravishda ko'rishimiz mumkin 140002D9C jarayonni amalga oshirish uchun huquqlaridan foydalaniladigan hisob qaydnomasi ekanligini aniqlash NT HAVOLIYATI.
Guruch. 34: NT AUTORITY tekshiruvi
Va keyinroq, protseduradan tashqari, u bunday emasligini tekshiradi csrss.exe, explorer.exe yoki lsaas.exe.
Guruch. 35: NT AUTORITY tekshiruvi
U jarayonlarning suratini olgandan, jarayonlarni ochgandan va ularning hech biri istisno qilinmaganligini tekshirgandan so'ng, u xotiraga kiritiladigan jarayonlarni yozishga tayyor.
Buni amalga oshirish uchun u avval xotiradagi maydonni saqlab qoladi (VirtualAllocEx), unga yozadi (WriteProcessmemory) va oqim hosil qiladi (RemoteThread yarating). Ushbu funksiyalar bilan ishlash uchun u ilgari olingan tanlangan jarayonlarning PID-laridan foydalanadi CreateToolhelp32 Snapshot.
36-rasm: Kodni joylashtirish
Bu erda biz funktsiyani chaqirish uchun PID jarayonidan qanday foydalanishini dinamik ravishda kuzatishimiz mumkin VirtualAllocEx.
37-rasm: VirtualAllocEx-ga qo'ng'iroq qilish
5.4 Shifrlash
Ushbu bo'limda biz ushbu namunaning shifrlash qismini ko'rib chiqamiz. Quyidagi rasmda siz "" nomli ikkita kichik dasturni ko'rishingiz mumkin.LoadLibrary_EncodeString"i"Encode_Func", shifrlash jarayonini bajarish uchun mas'ul bo'lganlar.
38-rasm: Shifrlash protseduralari
Boshida biz u qatorni qanday yuklashini ko'rishimiz mumkin, keyinchalik u barcha kerakli narsalarni: importlar, DLL-lar, buyruqlar, fayllar va CSP-larni o'chirish uchun ishlatiladi.
39-rasm: Deobfusatsiya zanjiri
Quyidagi rasmda R4 registrida o'chirilgan birinchi import ko'rsatilgan, Yuklab olish kutubxonasiBu keyinchalik kerakli DLL-larni yuklash uchun ishlatiladi. Bundan tashqari, biz R12 registridagi boshqa qatorni ko'rishimiz mumkin, u oldingi satr bilan birgalikda deobfusatsiyani amalga oshirish uchun ishlatiladi.
40-rasm: Dinamik deobfusatsiya
Zaxira nusxalarini, tiklash nuqtalarini va xavfsiz yuklash rejimlarini o'chirish uchun keyinchalik bajaradigan buyruqlarni yuklashni davom ettiradi.
41-rasm: Yuklash buyruqlari
Keyin u 3 ta faylni tushiradigan joyni yuklaydi: Windows.bat, run.sct и start.bat.
42-rasm: Fayl joylashuvi
Ushbu uchta fayl har bir joyning imtiyozlarini tekshirish uchun ishlatiladi. Agar kerakli imtiyozlar mavjud bo'lmasa, Ryuk ijroni to'xtatadi.
U uchta faylga mos keladigan qatorlarni yuklashni davom ettiradi. Birinchisi, DECRYPT_INFORMATION.html, fayllarni tiklash uchun zarur bo'lgan ma'lumotlarni o'z ichiga oladi. Ikkinchisi, Umumiy, RSA umumiy kalitini o'z ichiga oladi.
43-rasm: DECRYPT INFORMATION.html qatori
Uchinchidan, UNIKA_ID_O'CHIRILMAYDI, shifrlashni amalga oshirish uchun keyingi rejimda ishlatiladigan shifrlangan kalitni o'z ichiga oladi.
44-rasm: UNIQUE ID qatorni O'CHIRMANG
Nihoyat, u kerakli kutubxonalarni kerakli import va CSP bilan birga yuklaydi (Microsoft Enhanced RSA и AES kriptografik provayderi).
45-rasm: Kutubxonalarni yuklash
Barcha deobfuscation tugallangandan so'ng, u shifrlash uchun zarur bo'lgan amallarni bajarishga kirishadi: barcha mantiqiy drayverlarni sanab o'tish, oldingi pastki dasturda yuklangan narsalarni bajarish, tizimda mavjudligini kuchaytirish, RyukReadMe.html faylini tashlash, shifrlash, barcha tarmoq drayverlarini sanash, aniqlangan qurilmalarga o'tish va ularni shifrlash.
Hammasi yuklashdan boshlanadi "cmd.exe" va umumiy RSA kalitining yozuvlari.
46-rasm: Shifrlashga tayyorgarlik
Keyin u barcha mantiqiy drayverlarni ishlatadi GetLogicalDrives va barcha zaxira nusxalarini, tiklash nuqtalarini va xavfsiz yuklash rejimlarini o'chiradi.
47-rasm: Qayta tiklash vositalarini o'chirish
Shundan so'ng, u yuqorida ko'rganimizdek, tizimdagi mavjudligini kuchaytiradi va birinchi faylni yozadi RyukReadMe.html в Temp.
48-rasm: To'lov haqidagi xabarni nashr qilish
Quyidagi rasmda uning faylni qanday yaratishi, tarkibini yuklash va yozishni ko'rishingiz mumkin:
49-rasm: Fayl tarkibini yuklash va yozish
Barcha qurilmalarda bir xil amallarni bajarish imkoniyatiga ega bo'lish uchun u foydalanadi
"icacls.exe", biz yuqorida ko'rsatganimizdek.
50-rasm: icalcls.exe dan foydalanish
Nihoyat, u *.exe, *.dll, tizim fayllari va shifrlangan oq ro'yxatda ko'rsatilgan boshqa joylar bundan mustasno fayllarni shifrlashni boshlaydi. Buning uchun u importdan foydalanadi: CryptAcquireContextW (AES va RSA dan foydalanish ko'rsatilgan bo'lsa), CryptDeriveKey, CryptGenKey, CryptDestroyKey va hokazo. Shuningdek, WNetEnumResourceW yordamida topilgan tarmoq qurilmalariga uning harakatini kengaytirishga va keyin ularni shifrlashga harakat qilinadi.
51-rasm: Tizim fayllarini shifrlash
6. Import va tegishli bayroqlar
Quyida namuna tomonidan ishlatiladigan eng mos import va bayroqlar ro'yxati keltirilgan jadval:
7. XOQ
Manbalar
- usersPublicrun.sct
- Boshlash menyusiDasturlarStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomware haqida texnik hisobot PandaLabs antivirus laboratoriyasi mutaxassislari tomonidan tuzilgan.
8. Havolalar
1. “Everis y Prisa Radiosi xavfsiz tizimlardan foydalanmaydi.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas ispanolas”. https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 qog‘ozi: Shinigami qasosi: Ryuk zararli dasturining uzun dumi”. https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11/12/2019
4. “Ryuk bilan katta oʻyin ovi: Yana bir daromadli maqsadli toʻlov dasturi.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 01/10/2019.
5. “VB2019 qog‘ozi: Shinigami qasosi: Ryuk zararli dasturining uzun dumi”. https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Manba: www.habr.com
