Como remover o Trojan bancário Lampion

O que é o Lampion?

O Lampion é um programa malicioso, um trojan bancário que os cibercriminosos proliferam através do envio de e-mails. As mensagens contêm um link que descarrega um ficheiro compactado (ZIP) com ficheiros maliciosos. Como o Lampion é um trojan bancário, os cibercriminosos conceberam-no para roubar informações que podem ser usadas para fazer transações fraudulentas, além de outros dados.

A imagem abaixo é uma captura de ecrã de um e-mail usado para induzir as pessoas a infetar os seus sistemas com o Lampion, mas eles também podem usar outros modelos. Recomendamos enfaticamente que ignore este e-mail e não abra os ficheiros baixados através do link incluído.

Visão geral do Lampion

Se o URL malicioso dentro do e-mail enviado por cibercriminosos for clicado, um ficheiro ZIP será baixado. Ele contém um documento PDF, ficheiros .vbs (Visual Basic Script) e .txt (Texto). Se executado, o ficheiro .vbs baixa vários outros ficheiros chamados P-19-2.dll e 0.zip.

O ficheiro P-19-2.dll é o trojan Lampion, um ficheiro de biblioteca de ligação dinâmica responsável por roubar informações confidenciais e enviá-las para o servidor de comando e controlo controlado por cibercriminosos/atacantes. O Lampion recolhe dados da área de transferência e dos navegadores instalados num sistema infetado.

Os cibercriminosos também podem aceder a informações relacionadas às vítimas e seus sistemas, como versão do sistema operacional, nome do computador, pacote antivírus instalado, país e outros detalhes. Ao ter acesso à área de transferência da vítima, os invasores podem usar o Lampion para roubar qualquer informação salva nela.

Os dados guardados podem ser a palavra-passe de uma conta pessoal ou outros detalhes confidenciais. Além disso, este trojan bancário recolhe dados de navegadores, como logins, palavras-passe, dados de preenchimento automático e outras informações confidenciais. Esses detalhes podem ser usados indevidamente para roubar várias contas e clientes.

Por exemplo, contas de redes sociais, clientes de e-mail, contas bancárias, etc. Normalmente, os cibercriminosos utilizam-nas para gerar receitas através de transações fraudulentas, compras, proliferação de outro malware (por exemplo, ransomware), etc. Se acredita que o Lampion (ou outro malware) já está instalado no sistema operativo, remova-o imediatamente.

Exemplos de malware semelhante

Outros exemplos de trojans bancários incluem Mispadu, Bolik e Casbaneiro.

Normalmente, os cibercriminosos que procuram enganar as pessoas para infetar os seus computadores com esses programas têm um objetivo principal: roubar o máximo possível de informações confidenciais. Em muitos casos, as vítimas sofrem perdas financeiras, têm as suas identidades roubadas, enfrentam problemas relacionados com a privacidade, segurança de navegação, etc.

Como é que o Lampion se infiltrou no meu computador?

Este Trojan específico é distribuído por e-mail. Ou seja, através de links da Web que descarregam um ficheiro ZIP que contém ficheiros maliciosos. Se executado, um desses ficheiros (Visual Basic Script) inicia a cadeia de infeção do malware Lampion. Os cibercriminosos geralmente proliferam software malicioso enviando e-mails contendo ficheiros maliciosos ou links da Web.

Outros exemplos de ficheiros que costumam anexar são documentos do Microsoft Office, ficheiros JavaScript e ficheiros executáveis (.exe). Nenhum desses anexos pode causar danos/instalar malware se os destinatários não os abrirem.

Como evitar a instalação de malware

Se um e-mail for recebido de um endereço web duvidoso, for irrelevante e conter um anexo (ou link para um site), ele não deve ser confiável. A melhor maneira de evitar danos causados por esses e-mails é ignorá-los e não abrir o seu conteúdo. Além disso, todos os softwares devem ser baixados através de links diretos e de sites oficiais confiáveis.

Aconselhamos não descarregar ficheiros e programas de páginas não oficiais, através de redes Peer-to-Peer (por exemplo, clientes torrent, eMule), descarregadores de terceiros, etc. Os instaladores de terceiros não são confiáveis. Os programas instalados devem ser atualizados com ferramentas ou funções projetadas por desenvolvedores oficiais.

Não é seguro usar atualizadores falsos de terceiros. O mesmo se aplica à ativação de software licenciado. Observe também que é ilegal ativar software com ferramentas de “cracking” (não oficiais). Tenha um antivírus ou pacote anti-spyware confiável instalado e verifique o sistema operacional regularmente com ele.

Se acredita que o seu computador já está infetado, recomendamos que execute uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.

Texto de um e-mail usado para induzir as pessoas a instalar o Lampion:

Se não está visualizando clique aqui

 

Estimado Contribuinte: SITUAÇÃO IRREGULAR

O sistema detectou e gerou um alerta sobre um débito - ano 2018 -
Este email foi gerado durante o processo de emissão da factura
electrónica para o lado negativo e remetido para você de acordo
com a legislação em vigor. Ao mesmo tempo, indicamos que os endereços
electrónicos dos destinatários de e-mails são obtidos, exclusivamente,
de bases de dados AT e não são divulgados a terceiros.

Leia com atenção:

O prazo para entrega da Declaração de Rendimentos, de Imposto sobre o
Rendimento das Pessoas Singulares (IRS) - Modelo 3, decorre de 1 de abril a 30 de
junho. É neste período que são entregues as declarações relativas aos rendimentos
do ano anterior e a outros elementos informativos relevantes para a sua concreta
situação tributária. A informação constante das declarações submetidas É validada
pela Administração Tributária e Aduaneira (AT). Após a entrega da declaração, caso
receba um alerta com a designação de Divergência, isso significa que AT detetou,
nos dados que declarou, um ou mais valores de Rendimentos, Retenções na Fonte, e/ou
Deduções diferentes do(s) que consta(m) na base de dados.

Mantenha atualizados os seus dados pessoais no Portal das Finanças e fiabilize
os seus contactos (e-mail e telefone) para receber informação de apoio ao
cumprimento das suas obrigações fiscais e aduaneiras.
O arquivo XML correspondente a esta factura está no anexo.
 
Você pode verificá-lo através do site do Portal AT com o ID abaixo.

 
CONSULTAR DIVERGÊNCIA N: AT-OBV5GJUO .( 5Kb)
 
Atte: Direção de Serviços de Comunicação

17/01/2020 06:25:52 - Portal AT Resolução:AT-OBV5GJUO

1997 - 2019 AT © Todos os direitos reservados

Atualização em 12 de maio de 2020 - Após um hiato de vários meses, o trojan Lampion está de volta. Os cibercriminosos iniciaram várias campanhas de spam (a maioria relacionada a faturas bancárias, notificações, etc.) incentivando os utilizadores a abrir anexos ou visitar determinados sites. Vários sites maliciosos também foram desenvolvidos para espalhar esse malware.

Lista de sites de criptomoedas e bancos visados pelo Lampion:

• Aplicativo Bradesco
• BANRITRAVAR
• BPI
• BPI Net
• Banco BPI
• Banco Original
• Banco Bradesco
• Banco do Brasil
• Banco Montepio
• Banco bnb
• Bankinter
• CA Empresas
• CGD
• Caixa Económica
• Caixadirecta
• Caixadirecta Empresas
• Citibank
• Crédito Agrícola
• EuroBic
• Página de login
• Mercado Bitcoin
• Millenniumbcp
• Montepio
• NOVO BANCO
• Navegador exclusivo
• Nercado bitcoin
• Santander
• TravaBB
• TravaBitco

Atualização em 30 de outubro de 2025 - As novas táticas de distribuição incluem o uso de anexos ZIP que contêm HTML com redirecionamentos, empregando uma isca de engenharia social ClickFix, na qual as vítimas são solicitadas a colar comandos, e adicionando mecanismos de persistência no Visual Basic Script (VBS) para tornar o malware mais difícil de remover.

A carga final agora é entregue como um único arquivo DLL grande (em vez de vários arquivos) para dificultar a análise. A infraestrutura usa diferentes hosts na nuvem, redirecionamento e lista negra de IPs para evitar a detecção e a análise.

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

• O que é o Lampion?
• PASSO 1. Remoção manual do malware Lampion.
• PASSO 2. Verifique se o seu computador está limpo.

Como remover malware manualmente?

A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou antimalware façam isso automaticamente. Para remover este malware, recomendamos usar Combo Cleaner Antivirus para Windows.

Se desejar remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

Se verificou a lista de programas em execução no seu computador, por exemplo, usando o Gerenciador de Tarefas, e identificou um programa que parece suspeito, deve continuar com estas etapas:

Descarregue um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o Registo e as localizações do sistema de ficheiros:

Reinicie o computador no Modo de Segurança:

Utilizadores do Windows XP e Windows 7: Inicie o computador no Modo de Segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar, clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 no teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo de Segurança com Rede na lista.

Vídeo mostrando como iniciar o Windows 7 no “Modo de segurança com rede”:

Utilizadores do Windows 8: Inicie o Windows 8 no Modo de segurança com rede - Vá para a tela Iniciar do Windows 8, digite Avançado e, nos resultados da pesquisa, selecione Configurações. Clique em Opções avançadas de inicialização e, na janela

janela “Definições gerais do PC” aberta, selecione Inicialização avançada. Clique no botão “Reiniciar agora”. O seu computador irá agora reiniciar no “Menu de opções de inicialização avançada”. Clique no botão “Resolver problemas” e, em seguida, clique no botão “Opções avançadas”. Na tela de opções avançadas, clique em “Definições de inicialização”.

Clique no botão «Reiniciar». O seu PC será reiniciado na tela Configurações de inicialização. Pressione F5 para inicializar no Modo de segurança com rede.

Vídeo mostrando como iniciar o Windows 8 no “Modo de segurança com rede”:

Usuários do Windows 10: Clique no logotipo do Windows e selecione o ícone Energia. No menu aberto, clique em ‘Reiniciar’ enquanto mantém pressionada a tecla “Shift” no teclado. Na janela “escolher uma opção”, clique em “Resolver problemas” e, em seguida, selecione “Opções avançadas”.

No menu de opções avançadas, selecione “Configurações de inicialização” e clique no botão ‘Reiniciar’. Na janela seguinte, clique no botão “F5” do teclado. Isso reiniciará o sistema operacional no modo de segurança com rede. p>

Vídeo mostrando como iniciar o Windows 10 no “Modo de segurança com rede”:

Extraia o arquivo baixado e execute o arquivo Autoruns.exe.

No aplicativo Autoruns, clique em ‘Opções’ na parte superior e desmarque as opções ”Ocultar locais vazios“ e ”Ocultar entradas do Windows“. Após este procedimento, clique no ícone ”Atualizar".

Verifique a lista fornecida pelo aplicativo Autoruns e localize o ficheiro de malware que deseja eliminar.

Deve anotar o caminho completo e o nome. Observe que alguns malwares ocultam nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o nome e selecione «Excluir».

Após remover o malware através da aplicação Autoruns (isso garante que o malware não será executado automaticamente na próxima inicialização do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de removê-lo.

Reinicie o computador no modo normal. Seguir estas etapas deve remover qualquer malware do seu computador. Observe que a remoção manual de ameaças requer conhecimentos avançados de informática. Se não tiver esses conhecimentos, deixe a remoção de malware para programas antivírus e antimalware.

Estas etapas podem não funcionar com infecções por malware avançadas. Como sempre, é melhor prevenir a infeção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infeções por malware, recomendamos que o verifique com Combo Cleaner Antivirus para Windows.