FBI poskytuje pokyny, jak odstranit VPN aplikace z nedávno vypnutého botnetu.

Podle společného prohlášení úřadů začal botnet 911 S5 fungovat v květnu 2014 a byl ukončen v červenci 2022, než se v říjnu 2023 „znovu objevil“ pod názvem Cloudrouter.

911 S5 je pravděpodobně největší rezidenční proxy službou a botnetem na světě s více než 19 miliony napadených IP adres ve více než 190 zemích, což způsobilo škody v řádu miliard dolarů.

Úřady identifikovaly několik nelegálních bezplatných VPN aplikací určených k připojení k tísňovému volání 911 S5, včetně MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN a ShineVPN.

Když si uživatelé stáhnou tyto VPN aplikace, nechtěně se stanou oběťmi botnetu 911 S5. Tyto proxy backdoory umožňují zločincům páchat trestné činy, jako jsou bombové hrozby, finanční podvody, krádeže identity a zneužívání dětí. Použitím proxy backdoorů se zdá, že tyto nelegální aktivity pocházejí ze zařízení oběti.

Chcete-li zjistit, zda jste obětí botnetu 911 S5, mohou čtenáři postupovat podle níže uvedených pokynů FBI.

1. Stiskněte klávesy Ctrl + Alt + Delete na klávesnici a vyberte Správce úloh nebo klikněte pravým tlačítkem myši na nabídku Start a vyberte Správce úloh.

2. Po spuštění Správce úloh vyhledejte na kartě Proces: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Pokud Správce úloh nenajde žádnou z výše uvedených služeb, zkontrolujte v nabídce Start, zda se v ní nenacházejí stopy softwaru s označením „MaskVPN“, „DewVPN“, „ShieldVPN“, „PaladinVPN“, „ProxyGate“ nebo „ShineVPN“.

3. Klikněte na tlačítko Start v levém dolním rohu obrazovky a poté vyhledejte následující názvy: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Pokud zjistíte jakékoli VPN aplikace, níže naleznete nástroj pro odinstalaci. Klikněte na tlačítko Odinstalovat.

5. Pokud aplikace nemá možnost odinstalace, postupujte takto:

a. Klikněte na nabídku Start a zadejte „Přidat nebo odebrat programy“. Otevře se nabídka „Přidat nebo odebrat programy“.

b. Vyhledejte název škodlivé aplikace. Jakmile ji najdete, klikněte na název aplikace a vyberte možnost Odinstalovat.

c. Poté můžete ověřit kliknutím na tlačítko Start a zadáním textu Průzkumník souborů.

d. Klikněte na jednotku C a vyberte Program Files (x86). Zde v seznamu souborů a složek vyhledejte název škodlivé aplikace.

e. V ProxyGate přejděte do složky „C:\users\[Uživatelský profil]\AppData\Roaming\ProxyGate“.

f. Pokud nevidíte žádné složky s označením „MaskVPN“, „DewVPN“, „ShineVPN“, „ShieldVPN“, „PaladinVPN“ nebo „Proxygate“, tyto aplikace pravděpodobně nejsou nainstalovány.

g. Pokud je služba detekována jako spuštěná, ale není nalezena v nabídce Start nebo v panelu Přidat a odebrat programy:

Přejděte do adresáře popsaného v oddílech 5d a 5e.

Otevřete Správce úloh.

Na kartě procesů vyberte službu spojenou s jednou ze spuštěných škodlivých VPN aplikací.

Vyberte možnost Ukončit úlohu pro zastavení aplikace. Poté klikněte pravým tlačítkem myši na složku s názvem „MaskVPN“, „DewVPN“, „ShineVPN“, „ShieldVPN“, „PaladinVPN“ nebo „ProxyGate“ a vyberte možnost Odstranit. Můžete také vybrat všechny soubory ve složce a zvolit Odstranit.

Pokud se při pokusu o odstranění složky nebo všech souborů ve složce zobrazí chybová zpráva, ujistěte se, že jste ukončili všechny procesy ve Správci úloh systému Windows, jak je popsáno v kroku 5g.

(Podle FBI)