Το FBI παρέχει οδηγίες για την κατάργηση εφαρμογής VPN από botnet

Σύμφωνα με κοινή ανακοίνωση των αρχών, το botnet 911 S5 άρχισε να λειτουργεί τον Μάιο του 2014 και απενεργοποιήθηκε τον Ιούλιο του 2022, προτού «αναγεννηθεί» με το όνομα Cloudrouter τον Οκτώβριο του 2023.

Το 911 S5 μπορεί να είναι το μεγαλύτερο botnet και οικιακή υπηρεσία proxy στον κόσμο, με πάνω από 19 εκατομμύρια παραβιασμένες διευθύνσεις IP σε περισσότερες από 190 χώρες, προκαλώντας ζημιές δισεκατομμυρίων δολαρίων.

Οι αρχές εντόπισαν δωρεάν, παράνομες εφαρμογές VPN που δημιουργήθηκαν για σύνδεση με την υπηρεσία 911 S5, όπως: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN και ShineVPN.

Όταν οι χρήστες κατεβάζουν αυτές τις εφαρμογές VPN, άθελά τους γίνονται θύματα του botnet 911 S5. Αυτά τα backdoors μέσω proxy επιτρέπουν στους εγκληματίες να διαπράττουν εγκλήματα όπως απειλές για βόμβες, οικονομική απάτη, κλοπή ταυτότητας, εκμετάλλευση παιδιών κ.λπ. Χρησιμοποιώντας τα backdoors μέσω proxy, οι παράνομες δραστηριότητες φαίνεται να προέρχονται από τη συσκευή του θύματος.

Για να μάθετε αν είστε θύμα του botnet 911 S5, οι αναγνώστες μπορούν να ακολουθήσουν τις οδηγίες του FBI παρακάτω.

1. Πατήστε Control + Alt + Delete στο πληκτρολόγιο και επιλέξτε Task Manager ή κάντε δεξί κλικ στο μενού Έναρξη και επιλέξτε Task Manager.

2. Μόλις ξεκινήσει η Διαχείριση Εργασιών, στην καρτέλα Διεργασίες, αναζητήστε: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Εάν η Διαχείριση Εργασιών δεν εντοπίσει κάποια από τις παραπάνω υπηρεσίες, ελέγξτε στο μενού Έναρξη για τυχόν ίχνη λογισμικού με την ένδειξη "MaskVPN", "DewVPN", "ShieldVPN", "PaladinVPN", "ProxyGate" ή "ShineVPN".

3. Κάντε κλικ στο κουμπί Έναρξη στην κάτω αριστερή γωνία της οθόνης και, στη συνέχεια, αναζητήστε τα ακόλουθα ονόματα: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Εάν εντοπίσετε μία από τις εφαρμογές VPN, μπορείτε να βρείτε το εργαλείο απεγκατάστασης που βρίσκεται παρακάτω. Κάντε κλικ στην επιλογή Απεγκατάσταση.

5. Εάν η εφαρμογή δεν διαθέτει επιλογή απεγκατάστασης, ακολουθήστε τα εξής βήματα:

α. Κάντε κλικ στο μενού Έναρξη και πληκτρολογήστε "Προσθήκη ή αφαίρεση προγραμμάτων" για να ανοίξετε το μενού "Προσθήκη και αφαίρεση προγραμμάτων".

β. Βρείτε το όνομα της κακόβουλης εφαρμογής. Μόλις την εντοπίσετε, κάντε κλικ στο όνομα της εφαρμογής και επιλέξτε Κατάργηση εγκατάστασης.

γ. Στη συνέχεια, μπορείτε να επαληθεύσετε κάνοντας κλικ στην επιλογή Έναρξη και πληκτρολογώντας Εξερεύνηση αρχείων.

δ. Κάντε κλικ στη μονάδα δίσκου C και επιλέξτε Program Files(x86). Εδώ, βρείτε το όνομα της κακόβουλης εφαρμογής στη λίστα αρχείων και φακέλων που αναφέρονται.

ε. Με το ProxyGate, μεταβείτε στο "C:\users\[Προφίλ χρήστη]\AppData\Roaming\ProxyGate".

στ. Εάν δεν βλέπετε φακέλους με τις ετικέτες "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" ή "Proxygate", αυτές οι εφαρμογές ενδέχεται να μην είναι εγκατεστημένες.

ζ. Εάν εντοπιστεί ότι μια υπηρεσία εκτελείται αλλά δεν βρίσκεται στο μενού Έναρξη ή στην Προσθήκη και κατάργηση προγραμμάτων:

Μεταβείτε στον κατάλογο που περιγράφεται στα 5δ και 5ε.

Άνοιγμα της Διαχείρισης Εργασιών.

Επιλέξτε την υπηρεσία που σχετίζεται με μία από τις κακόβουλες εφαρμογές VPN που εκτελούνται στην καρτέλα διεργασίας.

Επιλέξτε Τέλος εργασίας για να διακόψετε την εφαρμογή. Στη συνέχεια, κάντε δεξί κλικ στον φάκελο με το όνομα "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" ή "ProxyGate" και επιλέξτε Διαγραφή. Μπορείτε επίσης να επιλέξετε όλα τα αρχεία στον φάκελο και να επιλέξετε Διαγραφή.

Εάν εμφανιστεί ένα μήνυμα σφάλματος κατά την προσπάθεια διαγραφής του φακέλου ή όλων των αρχείων που υπάρχουν σε αυτόν, βεβαιωθείτε ότι έχετε τερματίσει όλες τις διεργασίες στη Διαχείριση εργασιών των Windows, όπως περιγράφεται στο βήμα 5g.

(Σύμφωνα με το FBI)