Volgens een gezamenlijke verklaring van de autoriteiten begon het 911 S5-botnet in mei 2014 te opereren en werd het in juli 2022 uitgeschakeld, om vervolgens in oktober 2023 onder de naam Cloudrouter weer op te duiken.

911 S5 is mogelijk 's werelds grootste residentiële proxyservice en botnet, met meer dan 19 miljoen gecompromitteerde IP-adressen in meer dan 190 landen, wat miljarden dollars aan schade heeft veroorzaakt.

De autoriteiten hebben verschillende illegale, gratis VPN-applicaties geïdentificeerd die ontworpen zijn om verbinding te maken met de 911 S5-dienst, waaronder MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN en ShineVPN.

Wanneer gebruikers deze VPN-apps downloaden, worden ze onbedoeld slachtoffer van het 911 S5-botnet. Deze proxy-achterdeuren stellen criminelen in staat om misdrijven te plegen zoals bomdreigingen, financiële fraude, identiteitsdiefstal en kinderuitbuiting. Door gebruik te maken van proxy-achterdeuren lijken deze illegale activiteiten afkomstig te zijn van het apparaat van het slachtoffer.

Om erachter te komen of u slachtoffer bent van het 911 S5-botnet, kunt u de onderstaande instructies van de FBI volgen.

1. Druk op de toetsen Control + Alt + Delete op uw toetsenbord en selecteer Taakbeheer, of klik met de rechtermuisknop op het Startmenu en selecteer Taakbeheer.

2. Zodra Taakbeheer is geopend, zoek je onder het tabblad Processen naar: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Voorbeelden van ShieldVPN en ShieldVPN SVC in actie.

Als Taakbeheer geen van de bovengenoemde services detecteert, controleer dan het Startmenu op sporen van software met de namen "MaskVPN", "DewVPN", "ShieldVPN", "PaladinVPN", "ProxyGate" of "ShineVPN".

3. Klik op de Start-knop in de linkerbenedenhoek van het scherm en zoek vervolgens naar de volgende namen: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Als u VPN-applicaties detecteert, kunt u de verwijderingstool hieronder vinden. Klik op Verwijderen.

wjftx1tp.png

5. Als de app geen optie heeft om te verwijderen, volg dan deze stappen:

a. Klik op het Startmenu en typ 'Programma's toevoegen of verwijderen' om het menu 'Programma's toevoegen of verwijderen' te openen.

b. Zoek de naam van de schadelijke applicatie. Klik vervolgens op de naam van de applicatie en selecteer 'Verwijderen'.

c. Vervolgens kunt u dit controleren door op Start te klikken en Bestandsverkenner te typen.

d. Klik op station C en selecteer Program Files (x86). Zoek hier de naam van de schadelijke applicatie in de lijst met bestanden en mappen.

ve7wimy4.png

e. Ga met ProxyGate naar "C:\users\[Gebruikersprofiel]\AppData\Roaming\ProxyGate".

f. Als u geen mappen ziet met de namen "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" of "Proxygate", dan zijn deze applicaties mogelijk niet geïnstalleerd.

g. Als een service wordt gedetecteerd als actief, maar niet wordt gevonden in het Startmenu of in Programma's toevoegen of verwijderen:

Ga naar de map die beschreven staat in secties 5d en 5e.

Taakbeheer openen.

Selecteer de service die is gekoppeld aan een van de kwaadwillige VPN-toepassingen die actief zijn in het tabblad Processen.

Selecteer 'Taak beëindigen' om de toepassing te stoppen. Klik vervolgens met de rechtermuisknop op de map met de naam 'MaskVPN', 'DewVPN', 'ShineVPN', 'ShieldVPN', 'PaladinVPN' of 'ProxyGate' en selecteer 'Verwijderen'. U kunt ook alle bestanden in de map selecteren en 'Verwijderen' kiezen.

hucrau1l.png

Als u een foutmelding krijgt wanneer u een map of alle bestanden in een map probeert te verwijderen, zorg er dan voor dat u alle processen in Windows Taakbeheer hebt beëindigd, zoals beschreven in stap 5g.

(Volgens de FBI)