De acordo com um anúncio conjunto das autoridades, o botnet 911 S5 começou a operar em maio de 2014 e foi derrubado em julho de 2022 antes de "renascer" sob o nome Cloudrouter em outubro de 2023.

O 911 S5 pode ser o maior botnet e serviço de proxy residencial do mundo , com mais de 19 milhões de endereços IP comprometidos em mais de 190 países, causando bilhões de dólares em danos.

As autoridades identificaram aplicativos VPN gratuitos e ilegais que foram criados para se conectar ao serviço do 911 S5, incluindo: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN e ShineVPN.

Ao baixar esses aplicativos de VPN, os usuários involuntariamente se tornam vítimas da botnet 911 S5. Essas backdoors de proxy permitem que criminosos cometam crimes como ameaças de bomba, fraude financeira, roubo de identidade, exploração infantil, etc. Ao usar as backdoors de proxy, as atividades ilegais parecem se originar do dispositivo da vítima.

Para saber se você é vítima do botnet 911 S5, os leitores podem seguir as instruções do FBI abaixo.

1. Pressione Control + Alt + Delete no teclado e selecione Gerenciador de Tarefas ou clique com o botão direito do mouse no menu Iniciar e selecione Gerenciador de Tarefas.

2. Depois que o Gerenciador de Tarefas for iniciado, na aba Processos, procure por: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemplo de ShieldVPN e ShieldVPN Svc em ação.

Se o Gerenciador de Tarefas não detectar um dos serviços acima, verifique no menu Iniciar se há algum vestígio de software rotulado como “MaskVPN”, “DewVPN”, “ShieldVPN”, “PaladinVPN”, “ProxyGate” ou “ShineVPN”.

3. Clique no botão Iniciar no canto inferior esquerdo da tela e procure pelos seguintes nomes: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Se você detectar um dos aplicativos de VPN, encontrará a ferramenta de desinstalação abaixo. Clique em Desinstalar.

wjftx1tp.png

5. Se o aplicativo não tiver uma opção de desinstalação, siga estas etapas:

a. Clique no menu Iniciar e digite “Adicionar ou remover programas” para abrir o menu “Adicionar e remover programas”.

b. Encontre o nome do aplicativo malicioso. Após encontrá-lo, clique no nome do aplicativo e selecione Desinstalar.

c. Você pode então verificar clicando em Iniciar e digitando Explorador de Arquivos.

d. Clique na unidade C e selecione Arquivos de Programas (x86). Aqui, encontre o nome do aplicativo malicioso na lista de arquivos e pastas.

ve7wimy4.png

e. Com o ProxyGate, acesse "C:\usuários\[Perfil do usuário]\AppData\Roaming\ProxyGate".

f. Se você não vir nenhuma pasta rotulada como "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" ou "Proxygate", esses aplicativos podem não estar instalados.

g. Se um serviço for detectado como em execução, mas não for encontrado no menu Iniciar ou em Adicionar e remover programas:

Vá para o diretório descrito em 5d e 5e.

Abra o Gerenciador de Tarefas.

Selecione o serviço relacionado a um dos aplicativos VPN maliciosos em execução na guia de processos.

Selecione "Encerrar tarefa" para interromper o aplicativo. Em seguida, clique com o botão direito do mouse na pasta "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" ou "ProxyGate" e selecione "Excluir". Você também pode selecionar todos os arquivos na pasta e selecionar "Excluir".

hucrau1l.png

Se você vir uma mensagem de erro ao tentar excluir a pasta ou todos os arquivos nela contidos, certifique-se de ter encerrado todos os processos no Gerenciador de Tarefas do Windows, conforme descrito na etapa 5g.

(De acordo com o FBI)