Ifølge en felles kunngjøring fra myndighetene startet 911 S5-botnettet driften i mai 2014 og ble tatt ned i juli 2022 før det ble «gjenfødt» under navnet Cloudrouter i oktober 2023.

911 S5 kan være verdens største botnett og proxy-tjeneste for private, med over 19 millioner kompromitterte IP-adresser i over 190 land, noe som forårsaker milliarder av dollar i skade.

Myndighetene identifiserte gratis, ulovlige VPN-apper som ble laget for å koble til 911 S5s tjeneste, inkludert: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN og ShineVPN.

Når brukere laster ned disse VPN-appene, blir de ubevisst ofre for 911 S5-botnettet. Disse proxy-bakdørene lar kriminelle begå forbrytelser som bombetrusler, økonomisk svindel, identitetstyveri, utnyttelse av barn osv. Ved å bruke proxy-bakdørene ser det ut til at de ulovlige aktivitetene stammer fra offerets enhet.

For å vite om du er et offer for 911 S5-botnettet, kan leserne følge FBIs instruksjoner nedenfor.

1. Trykk Ctrl + Alt + Delete på tastaturet og velg Oppgavebehandling, eller høyreklikk på Start-menyen og velg Oppgavebehandling.

2. Når Oppgavebehandling har startet, se etter følgende under Prosesser-fanen: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Eksempel på ShieldVPN og ShieldVPN Svc i aksjon.

Hvis Oppgavebehandling ikke oppdager en av tjenestene ovenfor, kan du sjekke om det finnes spor av programvare merket «MaskVPN», «DewVPN», «ShieldVPN», «PaladinVPN», «ProxyGate» eller «ShineVPN» i Start-menyen.

3. Klikk på Start-knappen nederst til venstre på skjermen, og søk deretter etter følgende navn: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Hvis du finner en av VPN-appene, finner du avinstalleringsverktøyet nedenfor. Klikk på Avinstaller.

wjftx1tp.png

5. Hvis appen ikke har et avinstalleringsalternativ, følg disse trinnene:

a. Klikk på Start-menyen og skriv «Legg til eller fjern programmer» for å åpne menyen «Legg til og fjern programmer».

b. Finn navnet på det skadelige programmet. Når det er funnet, klikker du på programnavnet og velger Avinstaller.

c. Du kan deretter bekrefte ved å klikke på Start og skrive Filutforsker.

d. Klikk på stasjon C og velg Programfiler (x86). Finn navnet på det skadelige programmet i listen over filer og mapper.

ve7wimy4.png

e. Med ProxyGate, gå til "C:\users\[Brukerprofil]\AppData\Roaming\ProxyGate".

f. Hvis du ikke ser noen mapper merket «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» eller «Proxygate», kan det hende at disse appene ikke er installert.

g. Hvis en tjeneste registreres som kjørende, men ikke finnes i Start-menyen eller Legg til og fjern programmer:

Gå til katalogen beskrevet i 5d og 5e.

Åpne Oppgavebehandling.

Velg tjenesten relatert til et av de ondsinnede VPN-programmene som kjører i prosessfanen.

Velg Avslutt oppgave for å stoppe programmet. Høyreklikk deretter på mappen med navnet «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» eller «ProxyGate», og velg Slett. Du kan også velge alle filene i mappen og velge Slett.

hucrau1l.png

Hvis du ser en feilmelding når du prøver å slette mappen eller alle filene i mappen, må du kontrollere at du har avsluttet alle prosesser i Windows Oppgavebehandling som beskrevet i trinn 5g.

(Ifølge FBI)