ФБР предоставило инструкции по удалению VPN-приложений из недавно закрытого ботнета.

Согласно совместному заявлению властей, ботнет 911 S5 начал свою работу в мае 2014 года, был отключен в июле 2022 года, а затем «повторно появился» под названием Cloudrouter в октябре 2023 года.

911 S5, возможно, является крупнейшим в мире сервисом резидентных прокси и ботнетом, скомпрометировавшим более 19 миллионов IP-адресов в более чем 190 странах и причинившим ущерб на миллиарды долларов.

Власти выявили несколько незаконных бесплатных VPN-приложений, предназначенных для подключения к службе экстренной помощи 911 S5, включая MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и ShineVPN.

Когда пользователи загружают эти VPN-приложения, они непреднамеренно становятся жертвами ботнета 911 S5. Эти прокси-бэкдоры позволяют преступникам совершать такие преступления, как угрозы взрыва, финансовое мошенничество, кража личных данных и эксплуатация детей. Использование прокси-бэкдоров создает видимость того, что эти незаконные действия исходят с устройства жертвы.

Чтобы узнать, стали ли вы жертвой ботнета 911 S5, читатели могут следовать инструкциям ФБР, приведенным ниже.

1. Нажмите клавиши Control + Alt + Delete на клавиатуре и выберите «Диспетчер задач» или щелкните правой кнопкой мыши на меню «Пуск» и выберите «Диспетчер задач».

2. После запуска Диспетчера задач на вкладке «Процессы» найдите следующие процессы: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Если диспетчер задач не обнаруживает ни одной из вышеперечисленных служб, проверьте меню «Пуск» на наличие следов программного обеспечения с метками «MaskVPN», «DewVPN», «ShieldVPN», «PaladinVPN», «ProxyGate» или «ShineVPN».

3. Нажмите кнопку «Пуск» в левом нижнем углу экрана, затем выполните поиск по следующим названиям: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Если вы обнаружите какие-либо VPN-приложения, вы найдете инструмент для их удаления ниже. Нажмите «Удалить».

5. Если в приложении нет функции удаления, выполните следующие действия:

а. Щелкните меню «Пуск» и введите «Установка и удаление программ», чтобы открыть меню «Установка и удаление программ».

b. Найдите название вредоносного приложения. После того, как вы его найдете, щелкните по названию приложения и выберите «Удалить».

c. Затем вы можете проверить это, нажав кнопку «Пуск» и введя «Проводник».

d. Щелкните по диску C и выберите папку Program Files (x86). Здесь найдите в списке файлов и папок название вредоносного приложения.

e. При использовании ProxyGate перейдите в папку "C:\users\[Userprofile]\AppData\Roaming\ProxyGate".

f. Если вы не видите папок с названиями "MaskVPN", "DewVPN", "ShineVPN", "ShieldVPN", "PaladinVPN" или "Proxygate", возможно, эти приложения не установлены.

g. Если служба обнаружена как запущенная, но не найдена в меню «Пуск» или в разделе «Установка и удаление программ»:

Перейдите в каталог, описанный в разделах 5d и 5e.

Откройте диспетчер задач.

На вкладке «Процессы» выберите службу, связанную с одним из вредоносных VPN-приложений, запущенных в данный момент.

Чтобы остановить приложение, выберите «Завершить задачу» . Затем щелкните правой кнопкой мыши по папке с именем «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» или «ProxyGate» и выберите «Удалить». Вы также можете выбрать все файлы в папке и выбрать «Удалить».

Если при попытке удалить папку или все файлы в папке появляется сообщение об ошибке, убедитесь, что вы завершили все процессы в диспетчере задач Windows, как описано в шаге 5g.

(По данным ФБР)