Conform unei declarații comune a autorităților, botnet-ul 911 S5 a început să funcționeze în mai 2014 și a fost închis în iulie 2022 înainte de a „reapărea” sub numele de Cloudrouter în octombrie 2023.

911 S5 ar putea fi cel mai mare serviciu proxy rezidențial și botnet din lume , cu peste 19 milioane de adrese IP compromise în peste 190 de țări, provocând pagube de miliarde de dolari.

Autoritățile au identificat mai multe aplicații VPN ilegale și gratuite, concepute pentru a se conecta la serviciul 911 S5, inclusiv MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN și ShineVPN.

Când utilizatorii descarcă aceste aplicații VPN, devin, fără să vrea, victime ale botnet-ului 911 S5. Aceste backdoor-uri proxy permit infractorilor să comită infracțiuni precum amenințări cu bombă, fraudă financiară, furt de identitate și exploatare a copiilor. Prin utilizarea backdoor-urilor proxy, aceste activități ilegale par să provină de pe dispozitivul victimei.

Pentru a afla dacă sunteți victimă a botnet-ului 911 S5, cititorii pot urma instrucțiunile FBI de mai jos.

1. Apăsați tastele Control + Alt + Delete de pe tastatură și selectați Task Manager sau faceți clic dreapta pe meniul Start și selectați Task Manager.

2. După ce este lansat Task Manager, în fila Process, căutați: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemple de ShieldVPN și ShieldVPN SVC în acțiune.

Dacă Task Manager nu detectează niciunul dintre serviciile menționate anterior, verificați meniul Start pentru a vedea dacă există urme de software etichetat „MaskVPN”, „DewVPN”, „ShieldVPN”, „PaladinVPN”, „ProxyGate” sau „ShineVPN”.

3. Faceți clic pe butonul Start din colțul din stânga jos al ecranului, apoi căutați următoarele nume: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Dacă detectați aplicații VPN, puteți găsi instrumentul de dezinstalare mai jos. Faceți clic pe Dezinstalare.

wjftx1tp.png

5. Dacă aplicația nu are o opțiune de dezinstalare, urmați acești pași:

a. Faceți clic pe meniul Start și tastați „Adăugare sau eliminare programe” pentru a deschide meniul „Adăugare și eliminare programe”.

b. Găsiți numele aplicației rău intenționate. După ce ați găsit-o, faceți clic pe numele aplicației și selectați Dezinstalare.

c. Apoi puteți verifica făcând clic pe Start și tastând File Explorer.

d. Faceți clic pe unitatea C și selectați Program Files (x86). Aici, găsiți numele aplicației rău intenționate în lista de fișiere și foldere.

ve7wimy4.png

e. Cu ProxyGate, accesați „C:\users\[Userprofile]\AppData\Roaming\ProxyGate”.

f. Dacă nu vedeți niciun folder etichetat „MaskVPN”, „DewVPN”, „ShineVPN”, „ShieldVPN”, „PaladinVPN” sau „Proxygate”, este posibil ca aceste aplicații să nu fie instalate.

g. Dacă un serviciu este detectat ca rulând, dar nu este găsit în meniul Start sau în Adăugare și eliminare programe:

Accesați directorul descris în secțiunile 5d și 5e.

Deschideți Managerul de activități.

Selectați serviciul asociat cu una dintre aplicațiile VPN rău intenționate care rulează în fila de procese.

Selectați Terminare activitate pentru a opri aplicația. Apoi, faceți clic dreapta pe folderul numit „MaskVPN”, „DewVPN”, „ShineVPN”, „ShieldVPN”, „PaladinVPN” sau „ProxyGate” și selectați Ștergere. De asemenea, puteți selecta toate fișierele din folder și puteți alege Ștergere.

hucrau1l.png

Dacă vedeți un mesaj de eroare atunci când încercați să ștergeți un folder sau toate fișierele dintr-un folder, asigurați-vă că ați terminat toate procesele din Managerul de activități Windows, așa cum este descris în pasul 5g.

(Conform FBI-ului)