FBI udostępnia instrukcje dotyczące usuwania aplikacji VPN z botnetu, który właśnie został usunięty

Według wspólnego oświadczenia władz botnet 911 S5 rozpoczął działanie w maju 2014 r. i został wyłączony w lipcu 2022 r., a następnie „odrodził się” pod nazwą Cloudrouter w październiku 2023 r.

911 S5 może być największą na świecie siecią botów i usługą proxy, z ponad 19 milionami naruszonych adresów IP w ponad 190 krajach, powodującymi straty liczone w miliardach dolarów.

Władze zidentyfikowały bezpłatne, nielegalne aplikacje VPN, które zostały stworzone w celu łączenia się z usługą 911 S5, w tym: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN i ShineVPN.

Pobierając te aplikacje VPN, użytkownicy nieświadomie padają ofiarą botnetu 911 S5. Te tylne furtki proxy umożliwiają przestępcom popełnianie przestępstw takich jak groźby podłożenia bomby, oszustwa finansowe, kradzież tożsamości, wykorzystywanie dzieci itp. Korzystając z tylnych furtek proxy, nielegalne działania wydają się pochodzić z urządzenia ofiary.

Aby dowiedzieć się, czy padłeś ofiarą botnetu 911 S5, czytelnicy mogą zastosować się do poniższych instrukcji FBI.

1. Naciśnij klawisze Control + Alt + Delete na klawiaturze i wybierz Menedżera zadań lub kliknij prawym przyciskiem myszy menu Start i wybierz Menedżera zadań.

2. Po uruchomieniu Menedżera zadań na karcie Procesy poszukaj: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Jeśli Menedżer zadań nie wykryje żadnej z powyższych usług, sprawdź, czy w menu Start nie ma śladów oprogramowania oznaczonego jako „MaskVPN”, „DewVPN”, „ShieldVPN”, „PaladinVPN”, „ProxyGate” lub „ShineVPN”.

3. Kliknij przycisk Start w lewym dolnym rogu ekranu, a następnie wyszukaj następujące nazwy: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Jeśli wykryjesz jedną z aplikacji VPN, narzędzie do odinstalowywania znajdziesz poniżej. Kliknij Odinstaluj.

5. Jeśli aplikacja nie ma opcji odinstalowania, wykonaj następujące kroki:

a. Kliknij menu Start i wpisz „Dodaj lub usuń programy”, aby otworzyć menu „Dodaj lub usuń programy”.

b. Znajdź nazwę złośliwej aplikacji. Po jej znalezieniu kliknij nazwę aplikacji i wybierz Odinstaluj.

c. Następnie możesz to sprawdzić, klikając przycisk Start i wpisując Eksplorator plików.

d. Kliknij dysk C i wybierz Pliki programów (x86). Znajdź nazwę złośliwej aplikacji na liście plików i folderów.

e. W ProxyGate przejdź do „C:\users\[Profil użytkownika]\AppData\Roaming\ProxyGate”.

f. Jeśli nie widzisz żadnych folderów oznaczonych jako „MaskVPN”, „DewVPN”, „ShineVPN”, „ShieldVPN”, „PaladinVPN” lub „Proxygate”, te aplikacje mogą nie być zainstalowane.

g. Jeśli usługa zostanie wykryta jako uruchomiona, ale nie ma jej w menu Start ani w Dodaj lub usuń programy:

Przejdź do katalogu opisanego w punktach 5d i 5e.

Otwórz Menedżera zadań.

Wybierz usługę powiązaną z jedną ze złośliwych aplikacji VPN uruchomionych na karcie procesów.

Wybierz „Zakończ zadanie” , aby zatrzymać aplikację. Następnie kliknij prawym przyciskiem myszy folder o nazwie „MaskVPN”, „DewVPN”, „ShineVPN”, „ShieldVPN”, „PaladinVPN” lub „ProxyGate” i wybierz „Usuń”. Możesz również zaznaczyć wszystkie pliki w folderze i wybrać „Usuń”.

Jeśli podczas próby usunięcia folderu lub wszystkich plików w folderze pojawi się komunikat o błędzie, upewnij się, że wszystkie procesy w Menedżerze zadań systemu Windows zostały zakończone, zgodnie z opisem w kroku 5g.

(Według FBI)