Virus Miia là gì ? Cách diệt Virus Miia Ransomware

Virus Miia mã hóa tất cả các loại file phổ biến và thêm phần mở rộng “.miia” của riêng nó vào tất cả các file. Ví dụ: file “1.jpg”, sẽ được đổi thành “1.jpg.miia ”. Ngay sau khi quá trình mã hóa hoàn tất, vi rút tạo ra một file tin đặc biệt “ _readme.txt ” và thả nó vào tất cả các thư mục chứa các file đã sửa đổi.

Virus Miia là gì ?

Phần mềm tống tiền Miia là một loại phần mềm độc hại cụ thể đã mã hóa tài liệu của bạn và sau đó buộc bạn phải trả tiền cho chúng. Họ ransomware Djvu / STOP lần đầu tiên được tiết lộ và phát hiện bởi nhà phân tích virus Michael Gillespie. Virus Miia về cơ bản tương tự như các virus cùng dòng DJVU khác: Sbpg , Xcmb , Nnqp .

Thông báo yêu cầu thanh toán này là để khôi phục file qua khóa giải mã:

Miia ransomware xuất hiện dưới dạng một tập hợp các quy trình nhằm thực hiện các tác vụ khác nhau trên máy tính của nạn nhân. Một trong những cái đầu tiên được khởi chạy là winupdate.exe, một quy trình phức tạp hiển thị lời nhắc cập nhật Windows giả trong cuộc tấn công. Điều này nhằm thuyết phục nạn nhân rằng hệ thống bị chậm đột ngột là do bản cập nhật Windows. Tuy nhiên, đồng thời, ransomware chạy một quá trình khác (thường được đặt tên bằng bốn ký tự ngẫu nhiên) bắt đầu quét hệ thống để tìm các file mục tiêu và mã hóa chúng. Tiếp theo, ransomware xóa các Bản sao Khối lượng Bóng đá khỏi hệ thống bằng lệnh CMD sau:

vssadmin.exe Xóa bóng / Tất cả / Yên lặng

Sau khi bị xóa, không thể khôi phục trạng thái máy tính trước đó bằng cách sử dụng Điểm khôi phục hệ thống . Vấn đề là, các nhà khai thác ransomware đang loại bỏ mọi phương pháp dựa trên hệ điều hành Windows có thể giúp nạn nhân khôi phục file miễn phí. Ngoài ra, kẻ gian còn sửa đổi file Windows HOSTS bằng cách thêm danh sách các miền vào đó và ánh xạ chúng tới IP localhost. Do đó, nạn nhân sẽ gặp phải lỗi DNS_PROBE_FINISHED_NXDOMAIN khi truy cập một trong các trang web bị chặn.

Chúng tôi nhận thấy rằng ransomware cố gắng chặn các trang web xuất bản nhiều hướng dẫn cách thực hiện cho người dùng máy tính. Rõ ràng là bằng cách hạn chế các miền cụ thể, kẻ gian đang cố gắng ngăn chặn nạn nhân tiếp cận thông tin online liên quan đến cuộc tấn công ransomware và hữu ích. Virus này cũng lưu hai file văn bản trên máy tính của nạn nhân cung cấp thông tin chi tiết liên quan đến cuộc tấn công – khóa mã hóa công khai và ID cá nhân của nạn nhân. Hai file này được gọi là bowsakkdestx.txt và PersonalID.txt .

Virus Miia ransomware lưu khóa mã hóa công khai và id của nạn nhân trong tệp bowsakkdestx.txt

Sau tất cả các sửa đổi này, phần mềm độc hại không dừng lại. Các biến thể của STOP / DJVU có xu hướng loại bỏ Trojan ăn cắp mật khẩu AZORULT trên các hệ thống bị xâm nhập . Mối đe dọa này có một danh sách dài các khả năng, chẳng hạn như:

  • Đánh cắp thông tin đăng nhập / mật khẩu Steam, Telegram, Skype;
  • Đánh cắp ví tiền điện tử;
  • Tải phần mềm độc hại xuống máy tính và chạy nó;
  • Đánh cắp cookie của trình duyệt, mật khẩu đã lưu, lịch sử duyệt web và hơn thế nữa;
  • Xem và thao tác các tập tin trên máy tính của nạn nhân;
  • Cho phép tin tặc thực hiện các tác vụ khác trên máy tính của nạn nhân từ xa.

Thuật toán mật mã được sử dụng bởi họ ransomware DJVU / STOP là AES-256. Vì vậy, nếu file của bạn được mã hóa bằng khóa giải mã online, điều này hoàn toàn khác biệt. Một thực tế đáng buồn là không thể giải mã các file mà không có khóa duy nhất.

Trong trường hợp nếu Miia hoạt động ở chế độ online, bạn không thể có quyền truy cập vào khóa AES-256. Nó được lưu trữ trên một máy chủ từ xa thuộc sở hữu của bọn tội phạm đã chưng cất virus Miia.

Cách loại bỏ virus Miia

Bước 1 : Khởi động vào Safe Mode Windows 10 / Windows 11

Bước 2 : Cài đặt phần mềm diệt virus Miia và quét | (Khuyên dùng Malwarebytes)

Vì virus Miia này có nguyên gốc từ 2019 và cho đến năm 2022 đã được cải tiến thêm một số hành vi tấn công mới. Gần 90% người dùng đã bị tấn công gần như không thể khôi phục được một số file quan trọng. Nhưng bạn có thể may mắn sẽ tìm được những file đã lưu trên Cloud như trên Gmail hoặc Google Drive.

1 Comment
  1. không thể diệt được ,dù xóa dòng IP trên hosts vẫn vậy cho nên mọi người xác định là cài lại win .
    Với lại đã dính ransomware này mọi người chắc chắn sẽ mất tài khoản facebook, discord, và hên là sẽ không mất Gmail.
    Bọn chúng có để lại 1 file readme trong my computer để tống tiền các bạn.
    Mọi người đừng có gắn USB hay bất cứ thứ gì lưu trữ được vào khi bị nó nhiểm nếu không là hư luôn USB. Khi bị nó sẽ lấy acc discord bạn (nếu có) đi spam link nitro.
    Càng để lâu nó sẽ ăn sạch cái tài khoản microsoft của các bạn luôn nên mình khuyên là đi cài win lại ngay chứ làm như trên không hiệu quả đâu nhé.
    Cáo từ và mong mọi người có thể sống sót :>

Leave a reply

Tìm kiếm

Copyright Saohaivuong All Rights Reserved.

Sao Hải Vương
Logo