Volgens een gezamenlijke aankondiging van de autoriteiten begon het 911 S5-botnet in mei 2014 te opereren en werd het in juli 2022 offline gehaald, waarna het in oktober 2023 weer werd ‘herboren’ onder de naam Cloudrouter.

911 S5 is mogelijk het grootste botnet en residentiële proxyservice ter wereld , met meer dan 19 miljoen gecompromitteerde IP-adressen in meer dan 190 landen, wat miljarden dollars aan schade veroorzaakt.

De autoriteiten hebben gratis, illegale VPN-apps geïdentificeerd die zijn gemaakt om verbinding te maken met de service van 911 S5, waaronder: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN en ShineVPN.

Wanneer gebruikers deze VPN-apps downloaden, worden ze onbewust slachtoffer van het 911 S5-botnet. Deze proxy-backdoors stellen criminelen in staat om misdrijven te plegen zoals bommeldingen, financiële fraude, identiteitsdiefstal, kinderuitbuiting, enz. Door gebruik te maken van de proxy-backdoors lijken de illegale activiteiten afkomstig te zijn van het apparaat van het slachtoffer.

Om erachter te komen of u slachtoffer bent van het 911 S5-botnet, kunt u de onderstaande instructies van de FBI volgen.

1. Druk op Control + Alt + Delete op het toetsenbord en selecteer Taakbeheer. U kunt ook met de rechtermuisknop op het menu Start klikken en Taakbeheer selecteren.

2. Zodra Taakbeheer is gestart, zoekt u onder het tabblad Processen naar: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Voorbeeld van ShieldVPN en ShieldVPN Svc in actie.

Als Taakbeheer een van de bovenstaande services niet herkent, controleer dan in het menu Start of er sporen van software met de naam 'MaskVPN', 'DewVPN', 'ShieldVPN', 'PaladinVPN', 'ProxyGate' of 'ShineVPN' te vinden zijn.

3. Klik op de Start-knop in de linkerbenedenhoek van het scherm en zoek vervolgens naar de volgende namen: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Als u een van de VPN-apps vindt, vindt u hieronder de verwijdertool. Klik op Verwijderen.

wjftx1tp.png

5. Als de app geen optie heeft om te verwijderen, volg dan deze stappen:

a. Klik op het menu Start en typ 'Programma's toevoegen of verwijderen' om het menu 'Programma's toevoegen of verwijderen' te openen.

b. Zoek de naam van de schadelijke applicatie. Klik er vervolgens op en selecteer Verwijderen.

c. Vervolgens kunt u dit verifiëren door op Start te klikken en Verkenner te typen.

d. Klik op station C en selecteer Program Files (x86). Zoek hier de naam van de schadelijke applicatie in de lijst met bestanden en mappen.

ve7wimy4.png

e. Ga met ProxyGate naar "C:\users\[Gebruikersprofiel]\AppData\Roaming\ProxyGate".

f. Als u geen mappen ziet met de naam "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" of "Proxygate", zijn deze apps mogelijk niet geïnstalleerd.

g. Als een service als actief wordt gedetecteerd, maar niet in het menu Start of in het onderdeel Software wordt gevonden:

Ga naar de directory beschreven in 5d en 5e.

Open Taakbeheer.

Selecteer de service die is gekoppeld aan een van de schadelijke VPN-toepassingen die op het tabblad 'Proces' worden uitgevoerd.

Selecteer Taak beëindigen om de applicatie te stoppen. Klik vervolgens met de rechtermuisknop op de map 'MaskVPN', 'DewVPN', 'ShineVPN', 'ShieldVPN', 'PaladinVPN' of 'ProxyGate' en selecteer Verwijderen. Je kunt ook alle bestanden in de map selecteren en Verwijderen selecteren.

hucrau1l.png

Als u een foutmelding krijgt wanneer u de map of alle bestanden in de map probeert te verwijderen, controleer dan of u alle processen in Windows Taakbeheer hebt beëindigd zoals beschreven in stap 5g.

(Volgens de FBI)