Theo thông báo chung của nhà chức trách, botnet 911 S5 bắt đầu hoạt động từ tháng 5/2014 và bị đánh sập vào tháng 7/2022 trước khi “tái sinh” dưới tên Cloudrouter vào tháng 10/2023.

911 S5 có thể là dịch vụ proxy dân cư và botnet lớn nhất thế giới với hơn 19 triệu địa chỉ IP bị xâm phạm tại hơn 190 quốc gia, gây thiệt hại hàng tỷ USD.

Nhà chức trách chỉ ra các ứng dụng VPN miễn phí, bất hợp pháp đã được tạo ra để kết nối với dịch vụ của 911 S5 bao gồm: MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, và ShineVPN.

Khi người dùng tải xuống các ứng dụng VPN này, họ vô tình trở thành nạn nhân của botnet 911 S5. Các cửa hậu proxy đó cho phép tội phạm thực hiện các hành vi phạm tội như đe dọa ném bom, lừa đảo tài chính, đánh cắp danh tính, khai thác trẻ em... Bằng cách sử dụng cửa hậu proxy, những hành vi phạm pháp dường như xuất phát từ thiết bị của nạn nhân.

Để biết bản thân có phải nạn nhân của botnet 911 S5 hay không, độc giả có thể làm theo hướng dẫn của FBI như dưới đây.

1. Bấm tổ hợp phím Control + Alt + Delete trên bàn phím và chọn Task Manager hoặc bấm phải chuột vào trình đơn Start, chọn Task Manager.

2. Khi Task Manager đã khởi chạy, bên dưới thẻ Process, tìm kiếm: MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Ví dụ về việc ShieldVPN và ShieldVPN Svc đang hoạt động.

Nếu Task Manager không phát hiện được một trong các dịch vụ nói trên, hãy kiểm tra bằng cách tìm trong trình đơn Start bất kỳ dấu vết nào của phần mềm được dán nhãn “MaskVPN," "DewVPN," "ShieldVPN," "PaladinVPN," "ProxyGate," hoặc "ShineVPN”.

3. Bấm vào nút Start ở góc dưới cùng bên trái màn hình, sau đó tìm kiếm các tên sau đây: MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Nếu phát hiện một trong các ứng dụng VPN, bạn có thể tìm thấy công cụ gỡ cài đặt đặt ở bên dưới. Bấm vào Uninstall.

wjftx1tp.png

5. Nếu ứng dụng không có tùy chọn gỡ cài đặt, thực hiện các bước sau:

a. Bấm vào trình đơn Start và gõ “Add or remove programs” để mở ra trình đơn “Add and remove programs”.

b. Tìm tên của ứng dụng độc hại. Sau khi tìm ra, bấm vào tên của ứng dụng rồi chọn Uninstall.

c. Sau đó, bạn có thể xác minh bằng cách bấm vào Start, gõ File Explorer.

d. Bấm vào ổ C rồi chọn Program Files(x86). Tại đây, tìm tên của ứng dụng độc hại trong danh sách file và thư mục được liệt kê.

ve7wimy4.png

e. Với ProxyGate, truy cập "C:\users\[Userprofile]\AppData\Roaming\ProxyGate”.

f. Nếu không thấy bất kỳ thư mục nào dán nhãn "MaskVPN," "DewVPN," "ShineVPN," "ShieldVPN," "PaladinVPN," hay "Proxygate”, các ứng dụng này có thể không được cài đặt.

g. Nếu một dịch vụ bị phát hiện đang chạy nhưng không tìm thấy trong trình đơn Start hay Add and remove programs:

Đi đến thư mục được mô tả trong 5d và 5e.

Mở Task Manager.

Chọn dịch vụ liên quan đến một trong các ứng dụng VPN độc hại đang chạy trong thẻ quy trình (process).

Chọn End task để dừng ứng dụng hoạt động. Sau đó, bấm phải chuột vào thư mục mang tên “MaskVPN,” “DewVPN,” “ShineVPN,” “ShieldVPN,” “PaladinVPN,” hoặc "ProxyGate”, chọn Delele. Bạn cũng có thể chọn tất cả tập tin trong thư mục rồi chọn Delete.

hucrau1l.png

Nếu nhìn thấy thông báo lỗi khi cố xóa thư mục hoặc tất cả các tập tin trong thư mục, hãy đảm bảo đã chấm dứt mọi quy trình trong Windows Task Manager như đã mô tả trong bước 5g.

(Theo FBI)