Согласно совместному заявлению властей, ботнет 911 S5 начал работу в мае 2014 года и был закрыт в июле 2022 года, а затем «возродился» под названием Cloudrouter в октябре 2023 года.

911 S5 может быть крупнейшей в мире ботнет-сетью и резидентным прокси-сервисом с более чем 19 миллионами скомпрометированных IP-адресов в более чем 190 странах, что наносит ущерб на миллиарды долларов.

Власти выявили бесплатные незаконные VPN-приложения, созданные для подключения к сервису 911 S5, в том числе: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN и ShineVPN.

Когда пользователи загружают эти VPN-приложения, они невольно становятся жертвами ботнета 911 S5. Эти прокси-бэкдоры позволяют преступникам совершать такие преступления, как угрозы взрыва, финансовое мошенничество, кража личных данных, эксплуатация детей и т. д. При использовании прокси-бэкдоров создается впечатление, что противоправные действия совершаются с устройства жертвы.

Чтобы узнать, стали ли вы жертвой ботнета 911 S5, читатели могут следовать инструкциям ФБР ниже.

1. Нажмите Control + Alt + Delete на клавиатуре и выберите Диспетчер задач или щелкните правой кнопкой мыши меню «Пуск» и выберите Диспетчер задач.

2. После запуска диспетчера задач на вкладке «Процессы» найдите: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

Если диспетчер задач не обнаруживает ни одну из вышеперечисленных служб, проверьте, нет ли в меню «Пуск» следов программного обеспечения с метками «MaskVPN», «DewVPN», «ShieldVPN», «PaladinVPN», «ProxyGate» или «ShineVPN».

3. Нажмите кнопку «Пуск» в левом нижнем углу экрана, затем найдите следующие имена: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Если вы обнаружите одно из приложений VPN, вы можете найти инструмент удаления, расположенный ниже. Нажмите «Удалить».

5. Если приложение не имеет возможности удаления, выполните следующие действия:

а. Нажмите меню «Пуск» и введите «Установка и удаление программ», чтобы открыть меню «Установка и удаление программ».

б. Найдите название вредоносного приложения. Найдя приложение, нажмите на его название и выберите «Удалить».

в. Затем вы можете проверить это, нажав кнопку «Пуск» и введя «Проводник».

г. Нажмите на диск C и выберите Program Files (x86). Здесь найдите название вредоносного приложения в списке перечисленных файлов и папок.

е. С помощью ProxyGate перейдите в «C:\users\[Профиль пользователя]\AppData\Roaming\ProxyGate».

ф. Если вы не видите папок с названиями «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» или «Proxygate», возможно, эти приложения не установлены.

г. Если служба обнаружена как работающая, но не найдена в меню «Пуск» или «Установка и удаление программ»:

Перейдите в каталог, описанный в пунктах 5d и 5e.

Откройте диспетчер задач.

Выберите службу, связанную с одним из вредоносных приложений VPN, запущенных на вкладке процессов.

Выберите Завершить задачу , чтобы остановить работу приложения. Затем щелкните правой кнопкой мыши папку с именем «MaskVPN», «DewVPN», «ShineVPN», «ShieldVPN», «PaladinVPN» или «ProxyGate» и выберите «Удалить». Вы также можете выбрать все файлы в папке и выбрать «Удалить».

Если при попытке удалить папку или все файлы в папке вы видите сообщение об ошибке, убедитесь, что вы завершили все процессы в диспетчере задач Windows, как описано в шаге 5g.

(По данным ФБР)