Según un anuncio conjunto de las autoridades, la botnet 911 S5 comenzó a operar en mayo de 2014 y fue desmantelada en julio de 2022 antes de "renacer" bajo el nombre de Cloudrouter en octubre de 2023.

911 S5 podría ser el servicio de proxy residencial y botnet más grande del mundo , con más de 19 millones de direcciones IP comprometidas en más de 190 países, causando daños por valor de miles de millones de dólares.

Las autoridades identificaron aplicaciones VPN gratuitas e ilegales que fueron creadas para conectarse al servicio 911 S5, entre ellas: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN y ShineVPN.

Al descargar estas aplicaciones VPN, los usuarios se convierten involuntariamente en víctimas de la botnet 911 S5. Estas puertas traseras proxy permiten a los delincuentes cometer delitos como amenazas de bomba, fraude financiero, robo de identidad, explotación infantil, etc. Mediante el uso de estas puertas traseras proxy, las actividades ilegales parecen originarse en el dispositivo de la víctima.

Para averiguar si usted es víctima de la botnet 911 S5, los lectores pueden seguir las instrucciones del FBI a continuación.

1. Presione Control + Alt + Supr en el teclado y seleccione Administrador de tareas o haga clic con el botón derecho en el menú Inicio y seleccione Administrador de tareas.

2. Una vez que se haya iniciado el Administrador de tareas, en la pestaña Proceso, busque: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Ejemplo de ShieldVPN y ShieldVPN Svc en acción.

Si el Administrador de tareas no detecta alguno de los servicios anteriores, compruebe en el menú Inicio si hay algún rastro de software etiquetado como “MaskVPN”, “DewVPN”, “ShieldVPN”, “PaladinVPN”, “ProxyGate” o “ShineVPN”.

3. Haga clic en el botón Inicio en la esquina inferior izquierda de la pantalla y luego busque los siguientes nombres: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Si detecta alguna de las aplicaciones VPN, encontrará la herramienta de desinstalación más abajo. Haga clic en Desinstalar.

wjftx1tp.png

5. Si la aplicación no tiene una opción de desinstalación, siga estos pasos:

a. Haga clic en el menú Inicio y escriba “Agregar o quitar programas” para abrir el menú “Agregar y quitar programas”.

b. Localice el nombre de la aplicación maliciosa. Una vez encontrada, haga clic en el nombre de la aplicación y seleccione Desinstalar.

c. A continuación, puede verificarlo haciendo clic en Inicio y escribiendo Explorador de archivos.

d. Haga clic en la unidad C y seleccione Archivos de programa (x86). Aquí, busque el nombre de la aplicación maliciosa en la lista de archivos y carpetas.

ve7wimy4.png

e. Con ProxyGate, vaya a "C:\users\[Perfil de usuario]\AppData\Roaming\ProxyGate".

f. Si no ve ninguna carpeta etiquetada como "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" o "Proxygate", es posible que estas aplicaciones no estén instaladas.

g. Si se detecta que un servicio se está ejecutando pero no se encuentra en el menú Inicio ni en Agregar o quitar programas:

Diríjase al directorio descrito en 5d y 5e.

Abre el Administrador de tareas.

Seleccione el servicio relacionado con una de las aplicaciones VPN maliciosas que se ejecutan en la pestaña de procesos.

Seleccione Finalizar tarea para detener la aplicación. A continuación, haga clic con el botón derecho en la carpeta llamada «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» o «ProxyGate» y seleccione Eliminar. También puede seleccionar todos los archivos de la carpeta y seleccionar Eliminar.

hucrau1l.png

Si ve un mensaje de error al intentar eliminar una carpeta o todos los archivos de una carpeta, asegúrese de haber finalizado todos los procesos en el Administrador de tareas de Windows como se describe en el paso 5g.

(Según el FBI)