ФБР надає інструкції щодо видалення VPN-додатків з нещодавно закритого ботнету.

Згідно зі спільною заявою влади, ботнет 911 S5 почав функціонувати у травні 2014 року та був закритий у липні 2022 року, перш ніж «знову з’явитися» під назвою Cloudrouter у жовтні 2023 року.

911 S5 може бути найбільшим у світі сервісом проксі-сервісів та ботнетом для житлових приміщень, з понад 19 мільйонами скомпрометованих IP-адрес у понад 190 країнах, що завдало збитків на мільярди доларів.

Влада виявила кілька незаконних безкоштовних VPN-додатків, призначених для підключення до служби 911 S5, включаючи MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN та ShineVPN.

Коли користувачі завантажують ці VPN-додатки, вони ненавмисно стають жертвами ботнету 911 S5. Ці проксі-бекдори дозволяють злочинцям скоювати такі злочини, як погрози вибухами, фінансові шахрайства, крадіжка особистих даних та експлуатація дітей. Використовуючи проксі-бекдори, ця незаконна діяльність, схоже, починається з пристрою жертви.

Щоб дізнатися, чи є ви жертвою ботнету 911 S5, читачі можуть виконати наведені нижче інструкції ФБР.

1. Натисніть клавіші Control + Alt + Delete на клавіатурі та виберіть «Диспетчер завдань» або клацніть правою кнопкою миші меню «Пуск» і виберіть «Диспетчер завдань».

2. Після запуску диспетчера завдань на вкладці «Процес» знайдіть: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Якщо диспетчер завдань не виявляє жодної з вищезгаданих служб, перевірте меню «Пуск» на наявність слідів програмного забезпечення з позначками «MaskVPN», «DewVPN», «ShieldVPN», «PaladinVPN», «ProxyGate» або «ShineVPN».

3. Натисніть кнопку «Пуск» у лівому нижньому куті екрана, а потім знайдіть такі назви: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Якщо ви виявите будь-які VPN-програми, ви можете знайти інструмент видалення, розташований нижче. Натисніть «Видалити».

5. Якщо програма не має опції видалення, виконайте такі дії:

a. Натисніть меню «Пуск» і введіть «Установка та видалення програм», щоб відкрити меню «Установка та видалення програм».

b. Знайдіть назву шкідливої ​​програми. Після знаходження натисніть на назву програми та виберіть «Видалити».

c. Потім ви можете перевірити, натиснувши кнопку «Пуск» і ввівши «Провідник».

г. Клацніть на диску C та виберіть Program Files (x86). Тут знайдіть назву шкідливої ​​програми у списку файлів і папок.

e. За допомогою ProxyGate перейдіть до папки "C:\users\[Профіль користувача]\AppData\Roaming\ProxyGate".

f. Якщо ви не бачите жодної папки з позначками «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» або «Proxygate», можливо, ці програми не встановлено.

g. Якщо служба виявлена ​​як запущена, але її немає в меню «Пуск» або в розділі «Установка й видалення програм»:

Перейдіть до каталогу, описаного в розділах 5d та 5e.

Відкрийте диспетчер завдань.

Виберіть службу, пов’язану з однією зі шкідливих VPN-програм, що працюють, на вкладці процесу.

Виберіть «Завершити завдання» , щоб зупинити програму. Потім клацніть правою кнопкою миші на папці з назвою «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» або «ProxyGate» та виберіть «Видалити». Ви також можете вибрати всі файли в папці та вибрати «Видалити».

Якщо під час спроби видалення папки або всіх файлів у папці з’являється повідомлення про помилку, переконайтеся, що ви завершили всі процеси в диспетчері завдань Windows, як описано в кроці 5g.

(За даними ФБР)