Jak usunąć trojana bankowego Lampion

Czym jest Lampion?

Lampion to złośliwy program, trojan bankowy, który cyberprzestępcy rozpowszechniają za pomocą wiadomości e-mail. Wiadomości zawierają link, który pobiera plik archiwum (ZIP) zawierający złośliwe pliki. Ponieważ Lampion jest trojanem bankowym, cyberprzestępcy zaprojektowali go tak, aby wykradał informacje, które mogą zostać wykorzystane do przeprowadzenia fałszywych transakcji, oraz inne dane.

Poniższy obrazek przedstawia zrzut ekranu wiadomości e-mail, która służy do nakłaniania osób do zainfekowania systemów Lampionem, jednak przestępcy mogą również korzystać z innych szablonów. Zdecydowanie zalecamy ignorowanie tej wiadomości e-mail i nieotwieranie plików pobranych za pomocą dołączonego linku.

Omówienie Lampiona

Po kliknięciu złośliwego adresu URL zawartego w wiadomości e-mail wysłanej przez cyberprzestępców pobierany jest plik ZIP. Zawiera on dokument PDF, pliki .vbs (Visual Basic Script) i .txt (tekst). Po uruchomieniu plik .vbs pobiera kilka innych plików o nazwach P-19-2.dll i 0.zip.

Plik P-19-2.dll to trojan Lampion, plik biblioteki dynamicznej odpowiedzialny za kradzież poufnych informacji i wysyłanie ich do serwera Command & Control kontrolowanego przez cyberprzestępców/atakujących. Lampion zbiera dane z schowka zainfekowanego systemu i zainstalowanych przeglądarek.

Cyberprzestępcy mogą również uzyskać dostęp do informacji dotyczących ofiar i ich systemów, takich jak wersja systemu operacyjnego, nazwa komputera, zainstalowany pakiet antywirusowy, kraj i inne szczegóły. Dzięki dostępowi do schowka ofiary atakujący mogą wykorzystać Lampion do kradzieży wszelkich informacji, które są w nim zapisane.

Zapisane dane mogą obejmować hasła do kont osobistych lub inne poufne informacje. Ponadto ten trojan bankowy zbiera dane z przeglądarek, takie jak loginy, hasła, dane autouzupełniania i inne poufne informacje. Dane te mogą zostać wykorzystane do kradzieży różnych kont i klientów.

Na przykład konta w mediach społecznościowych, klienci poczty elektronicznej, konta związane z bankowością itp. Zazwyczaj cyberprzestępcy wykorzystują je do generowania przychodów poprzez dokonywanie fałszywych transakcji, zakupów, rozprzestrzenianie innego złośliwego oprogramowania (np. ransomware) itp. Jeśli uważasz, że Lampion (lub inne złośliwe oprogramowanie) jest już zainstalowane w systemie operacyjnym, natychmiast je usuń.

Przykłady podobnego złośliwego oprogramowania

Inne przykłady trojanów bankowych to Mispadu, Bolik i Casbaneiro.

Zazwyczaj cyberprzestępcy, którzy próbują nakłonić ludzi do zainfekowania swoich komputerów takimi programami, mają jeden główny cel: wykraść jak najwięcej poufnych informacji. W wielu przypadkach ofiary ponoszą straty finansowe, padają ofiarą kradzieży tożsamości, napotykają problemy związane z prywatnością, bezpieczeństwem przeglądania stron internetowych itp.

W jaki sposób Lampion przedostał się do mojego komputera?

Ten konkretny trojan jest rozpowszechniany za pośrednictwem wiadomości e-mail. Tzn. poprzez linki internetowe, które pobierają plik ZIP zawierający złośliwe pliki. Po uruchomieniu jeden z tych plików (Visual Basic Script) rozpoczyna łańcuch infekcji złośliwym oprogramowaniem Lampion. Cyberprzestępcy często rozpowszechniają złośliwe oprogramowanie, wysyłając wiadomości e-mail zawierające złośliwe pliki lub linki internetowe.

Inne przykłady plików, które często dołączają, to dokumenty Microsoft Office, pliki JavaScript i pliki wykonywalne (.exe). Żadne z tych załączników nie może wyrządzić żadnych szkód ani zainstalować złośliwego oprogramowania, jeśli odbiorcy nie otworzą ich.

Jak uniknąć instalacji złośliwego oprogramowania

Jeśli wiadomość e-mail pochodzi z podejrzanego adresu internetowego, jest nieistotna i zawiera załącznik (lub link do strony internetowej), nie należy jej ufać. Najlepszym sposobem uniknięcia szkód spowodowanych przez takie wiadomości e-mail jest zignorowanie ich i pozostawienie ich zawartości nieotwartą. Ponadto całe oprogramowanie powinno być pobierane za pośrednictwem bezpośrednich linków i z wiarygodnych, oficjalnych stron internetowych.

Odradzamy pobieranie plików i programów z nieoficjalnych stron, poprzez sieci peer-to-peer (np. klienci torrent, eMule), zewnętrzne programy do pobierania itp. Nie można ufać zewnętrznym instalatorom.

Zainstalowane programy należy aktualizować za pomocą narzędzi lub funkcji zaprojektowanych przez oficjalnych twórców. Korzystanie z fałszywych aktualizatorów innych firm nie jest bezpieczne. To samo dotyczy aktywacji licencjonowanego oprogramowania. Należy również pamiętać, że aktywacja oprogramowania za pomocą „crackingowych” (nieoficjalnych) narzędzi jest nielegalna. Należy zainstalować renomowany pakiet antywirusowy lub antyspyware i regularnie skanować nim system operacyjny.

Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

Tekst wiadomości e-mail wykorzystywanej do nakłaniania osób do zainstalowania programu Lampion:

Se não está visualizando clique aqui

 

Estimado Contribuinte: SITUAÇÃO IRREGULAR

O sistema detectou e gerou um alerta sobre um débito - ano 2018 -
Este email foi gerado durante o processo de emissão da factura
electrónica para o lado negativo e remetido para você de acordo
com a legislação em vigor. Ao mesmo tempo, indicamos que os endereços
electrónicos dos destinatários de e-mails são obtidos, exclusivamente,
de bases de dados AT e não são divulgados a terceiros.

Leia com atenção:

O prazo para entrega da Declaração de Rendimentos, de Imposto sobre o
Rendimento das Pessoas Singulares (IRS) - Modelo 3, decorre de 1 de abril a 30 de
junho. É neste período que são entregues as declarações relativas aos rendimentos
do ano anterior e a outros elementos informativos relevantes para a sua concreta
situação tributária. A informação constante das declarações submetidas É validada
pela Administração Tributária e Aduaneira (AT). Após a entrega da declaração, caso
receba um alerta com a designação de Divergência, isso significa que AT detetou,
nos dados que declarou, um ou mais valores de Rendimentos, Retenções na Fonte, e/ou
Deduções diferentes do(s) que consta(m) na base de dados.

Mantenha atualizados os seus dados pessoais no Portal das Finanças e fiabilize
os seus contactos (e-mail e telefone) para receber informação de apoio ao
cumprimento das suas obrigações fiscais e aduaneiras.
O arquivo XML correspondente a esta factura está no anexo.
 
Você pode verificá-lo através do site do Portal AT com o ID abaixo.

 
CONSULTAR DIVERGÊNCIA N: AT-OBV5GJUO .( 5Kb)
 
Atte: Direção de Serviços de Comunicação

17/01/2020 06:25:52 - Portal AT Resolução:AT-OBV5GJUO

1997 - 2019 AT © Todos os direitos reservados

Aktualizacja z 12 maja 2020 r. – Po kilkumiesięcznej przerwie trojan Lampion powrócił do działania. Cyberprzestępcy rozpoczęli szereg różnych kampanii spamowych (głównie dotyczących faktur bankowych, powiadomień itp.), zachęcających użytkowników do otwierania załączników lub odwiedzania określonych stron internetowych. W celu rozprzestrzeniania tego złośliwego oprogramowania stworzono również szereg złośliwych stron internetowych.

Lista stron internetowych kryptowalut i banków, które są celem ataków trojana Lampion:

• Aplicativo bradesco
• BANRITRAVAR
• BPI
• BPI Net
• Banco BPI
• Banco Original
• Banco bradesco
• Banco do Brasil
• Banco montepio
• Banking bnb
• Bankinter
• CA Empresas
• CGD
• Caixa Economica
• Caixadirecta
• Caixadirecta Empresas
• Citibank
• Crédito Agrícola
• EuroBic
• Strona logowania
• Mercado Bitcoin
• Millenniumbcp
• Montepio
• NOVO BANCO
• Navegador exclusivo
• Nercado bitcoin
• Santander
• TravaBB
• TravaBitco

Aktualizacja z 30 października 2025 r. — Nowe taktyki dystrybucji obejmują wykorzystanie załączników ZIP zawierających kod HTML z przekierowaniami, stosowanie socjotechnicznej pułapki ClickFix, w której ofiary są proszone o wklejenie poleceń, oraz dodawanie mechanizmów utrzymywania się w skrypcie Visual Basic Script (VBS), aby utrudnić usunięcie złośliwego oprogramowania.

Ostateczny ładunek jest teraz dostarczany jako jeden duży plik DLL (zamiast wielu plików), aby utrudnić analizę. Infrastruktura wykorzystuje różne hosty w chmurze, przekierowania i czarne listy adresów IP, aby uniknąć wykrycia i analizy.

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest Lampion?
• KROK 1. Ręczne usuwanie złośliwego oprogramowania Lampion.
• KROK 2. Sprawdź, czy komputer jest czysty.

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:

Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:

Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".

W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".

Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.

Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.